![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
使用 IKEYMAN 将密钥存储在 PKCS11 设备上
对于 IBM® HTTP Server,可以使用 IKEYMAN 将密钥存储在 PKCS11 设备上。
开始之前
请参阅 http://www.ibm.com/developerworks/java/jdk/security/60/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html#ConfigFile 中有关 IBMPKCS11Impl 提供程序的信息。
过程
- 获取加密驱动程序的文件名和路径位置,以便将密钥存储在 PKCS11 设备上。 下面是 PKCS11 设备的路径位置示例:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM 电子商务加密加速器
/usr/lib/pkcs11/PKCS11_API.so
- nCipher:
- 如果 Web 服务器和 Java™ Development Kit (JDK) 是 64 位,请选择 64 位供应商 PKCS11 库。
在某些平台上,64 位 PKCS11 库文件名后面追加了 64。
您可以运行 apachectl -V 来显示 Web 服务器的体系结构。
您可以运行 httpd.exe -V 来显示 Web 服务器的体系结构。
- 确定您使用的 PKCS11 令牌的令牌标签。
本机供应商工具(例如 pkcsconf -its)通常显示令牌标签。
- 使用下列字段创建用于描述 PKCS11 设备的 PKCS11 配置文件:
- library:正确体系结构的 PKCS11 驱动程序的完整路径
- name:与上一个步骤中的令牌标签相同
- description:包含描述的文本字段
- attributes:您从 Web 服务器所使用的证书示例中逐字复制的一组属性
注: 对于某些加密加速器,需要备用语法以避免发生 SSL0227E 错误。/opt/HTTPServer/conf/pkcs11.cfg 示例:library = /usr/lib/pkcs11/PKCS11_API.so name = PCI description = description attributes(*,CKO_PRIVATE_KEY,*) = {CKA_PRIVATE=true CKA_TOKEN=true)
- 更新安装根目录下的 java/jre/lib/security/java.security 文件,以添加新的安全提供程序。
- 使新的安全提供程序引用 GSKit PKCS11 类以及 PKCS11 配置文件的位置。
- 将该提供程序作为编号最高的新提供程序追加至提供程序列表末尾。
- 修改下列示例以指定配置文件的位置。
为便于显示,某些行被拆分为多行。对于本任务中显示为多行而实际应为一行的内容,请在一行中输入。
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- 运行 IKEYMAN 以便将密钥存储在 PKCS11 设备上。
在启动 IKEYMAN 之后,请完成以下操作:
- 从菜单中选择密钥数据库文件,然后打开以浏览至“密钥数据库信息”对话框
- 从密钥数据库类型下拉列表中,选择 PKCS11Config。
如果 PKCS11Config 不是选项,但 PKCS11Direct 是选项,那么说明存在您必须修正的错误。请检查前面步骤中的 java.security 工作。PKCS11Direct 选项不应对 Web 服务器显示。
所有其他字段将被锁定,因为参数是从 pkcs11.cfg 文件提供的。
- 单击确定以浏览至打开密码令牌对话框。
PKCS11 设备的密码令牌标签将显示在面板中。此标签来自 pkcs11.cfg 文件中的名称字段,并且可能不同于本机令牌标签。
- 在打开密码令牌对话框中完成下列操作。
- 在密码令牌密码字段中输入 PKCS11 设备的密码令牌密码。该密码之前已设置,并且特定于硬件。在供应商文档和工具中,该密码通常称为用户 PIN。
- 选中创建新的辅助密钥数据库文件选项,并完成提示以创建新的辅助密钥数据库。
- 单击确定。
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_ikeypkcs11
文件名:tihs_ikeypkcs11.html