![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Mit IKEYMAN Schlüssel auf einer PKCS11-Einheit speichern
Für IBM® HTTP Server können Sie IKEYMAN zum Speichern von Schlüsseln auf einer PKCS11-Einheit verwenden.
Vorbereitende Schritte
Lesen Sie die Informationen zum Provider IBMPKCS11Impl unter http://www.ibm.com/developerworks/java/jdk/security/60/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html#ConfigFile.
Vorgehensweise
- Fordern Sie
den Dateinamen und die Pfadposition des Verschlüsselungstreibers an, um die Schlüssel auf der PKCS11-Einheit
zu speichern. Die folgenden Beispiele zeigen Verzeichnispositionen für PKCS11-Einheiten:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM E-Business Cryptographic
Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- nCipher:
- Wenn Ihr Web-Server und Java™ Development
Kit (JDK) 64-Bit-Versionen sind, wählen Sie die Bibliothek PKCS11 eines 64-Bit-Anbieters aus.
Auf einigen Plattformen ist dem Dateinamen der 64-Bit-PKCS11-Bibliothek der Wert 64 angehängt.
Sie können die Architektur des Web-Server anzeigen, indem Sie apachectl -V ausführen.
Sie können die Architektur des Web-Server anzeigen, indem Sie httpd.exe -V ausführen.
- Bestimmen
Sie die Tokenbezeichnung des PKCS11-Tokens, das Sie verwenden.
Native Tool anderer Anbieter, wie z. B. pkcsconf -its, zeigen häufig die l an.
- Erstellen Sie eine PKCS11-Konfigurationsdatei, in der Sie
die PKCS11-Einheit mit den folgenden Feldern beschreiben:
- library: Vollständiger Pfad zum PKCS11-Treiber für die richtige Bibliothek.
- name: Entspricht der Tokenbezeichnung aus dem vorherigen Schritt.
- description: Textfeld mit Ihrer Beschreibung.
- attributes: Eine Gruppe von Attributen, die Sie wörtlich aus dem Zertifikatsbeispiel kopieren, das der Web-Server verwendet.
Anmerkung: Bei manchen kryptografischen Beschleunigern ist eine alternative Syntax erforderlich, um Fehler vom Typ "SSL0227E" zu vermeiden./opt/HTTPServer/conf/pkcs11.cfg Beispiel:library = /usr/lib/pkcs11/PKCS11_API.so name = PCI description = description attributes(*,CKO_PRIVATE_KEY,*) = {CKA_PRIVATE=true CKA_TOKEN=true)
- Aktualisieren Sie die Datei java/jre/lib/security/java.security
im Installationsstammverzeichnis, um einen neuen Sicherheitsprovider hinzuzufügen.
- Lassen Sie den neuen Sicherheitsprovider auf die GSKit-PKCS11-Klassen und die Position Ihrer PKCS11-Konfigurationsdatei verweisen.
- Fügen Sie den Provider am Ende der Providerliste als neuen Provider mit der höchsten Nummer hinzu.
- Ändern Sie die folgenden Beispiele, um die Position Ihrer Konfigurationsdatei anzugeben.
Einige Zeilen sind zur besseren Lesbarkeit auf mehrere Zeilen verteilt. Geben Sie eine Zeile als eine einzige Zeile ein, selbst wenn sie in dieser Task in mehreren Zeilen angezeigt wird.
# Die folgende Zeile ist der letzte bereits vorhandene Sicherheitsprovider. security.provider.12=com... # Fügen Sie die folgende Zeile hinzu. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# Die folgende Zeile ist der letzte bereits vorhandene Sicherheitsprovider. security.provider.12=com... # Fügen Sie die folgende Zeile hinzu. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- Führen Sie IKEYMAN aus, um die Schlüssel auf der PKCS11-Einheit zu speichern.
Gehen Sie nach dem Start von IKEYMAN folgendermaßen vor:
- Wählen Sie im Menü den Eintrag Schlüsseldatenbankdatei und anschließend Öffnen aus, um den Dialog mit den Schlüsseldatenbankinformationen zu öffnen.
- Wählen
Sie in der Dropdown-Liste für
Schlüsseldatentyp den Eintrag PKCS11Config aus.
Wenn PKCS11Config keine Option ist, aber PKCS11Direct, liegt ein Fehler vor, den Sie beheben müssen. Überprüfen Sie Ihre java.security-Arbeit in früheren Schritten. Die Option "PKCS11Direct" ist für den Web-Server nicht sichtbar.
Alle anderen Felder werden gesperrt, da die Parameter aus der Datei "pkcs11.cfg" bereitgestellt werden.
- Klicken Sie auf OK, um zum Dialog Verschlüsselungstoken öffnen zu navigieren.
Die Bezeichnung Verschlüsselungstokenkennsatz der PKCS11-Einheit erscheint in der Anzeige. Diese Bezeichnung stammt aus dem Namensfeld der Datei pkcs11.cfg und kann von der nativen Tokenbezeichnung abweichen.
- Führen Sie im Dialog Verschlüsselungstoken öffnen die folgenden Aktionen aus.
- Geben Sie das Verschlüsselungstokenkennwort für die PKCS11-Einheit im Feld Verschlüsselungstokenkennwort ein. Das Kennwort wurde zuvor gesetzt und ist hardwarespezifisch. Dieses Kennwort wird in der Dokumentation und den Tools des Anbieters häufig auch als Benutzer-PIN (persönliche Identifikationsnummer) bezeichnet.
- Wählen Sie die Option Neue sekundäre Schlüsseldatenbankdatei erstellen aus, und folgen Sie den Bedienerführungen zum Erstellen einer neuen sekundären Schlüsseldatenbank.
- Klicken Sie auf OK.
Ergebnisse
Nächste Schritte


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_ikeypkcs11
Dateiname:tihs_ikeypkcs11.html