![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Utilizando IKEYMAN para Armazenar Chaves em um Dispositivo PKCS11
Para o IBM® HTTP Server, é possível usar o IKEYMAN para armazenar chaves em um dispositivo PKCS11.
Antes de Iniciar
Leia sobre o provedor IBMPKCS11Impl em http://www.ibm.com/developerworks/java/jdk/security/60/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html#ConfigFile.
Procedimento
- Obtenha
o nome do arquivo e o local do caminho do driver criptográfico
para armazenar as chaves no dispositivo PKCS11. A seguir estão exemplos de locais de caminho para dispositivos PKCS11:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM e-business Cryptographic
Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- nCipher:
- Se seu servidor da Web e o Java™ Development
Kit (JDK) forem de 64 bits, selecione uma biblioteca PKCS11 do fornecedor de 64 bits.
Em algumas plataformas, o nome do arquivo da biblioteca PKCS11 de 64 bits possui 64 anexado a ele.
É possível exibir a arquitetura do servidor da Web executando apachectl -V.
É possível exibir a arquitetura do servidor da Web executando httpd.exe -V.
- Determine
a etiqueta do token do PKCS11 que você
usa.
Ferramentas do fornecedor nativas, tal como pkcsconf -its, geralmente exibem a etiqueta do token.
- Crie
um arquivo de configuração de PKCS11 que descreve seu dispositivo PKCS11
usando os campos a seguir:
- library: Caminho completo para o driver PKCS11 de arquitetura adequado
- name: Mesmo que a etiqueta do token da etapa anterior
- description: Campo de texto com sua descrição
- attributes: Um conjunto de atributos que você copia literalmente do exemplo de certificados que o servidor da Web usa
Nota: Com alguns aceleradores criptográficos, é necessário uma sintaxe alternativa para evitar erros SSL0227E.exemplo /opt/HTTPServer/conf/pkcs11.cfg:library = /usr/lib/pkcs11/PKCS11_API.so name = PCI description = description attributes(*,CKO_PRIVATE_KEY,*) = {CKA_PRIVATE=true CKA_TOKEN=true)
- Atualize o arquivo java/jre/lib/security/java.security
na raiz da instalação para incluir um novo provedor de segurança.
- Faça com que o novo provedor de segurança referencie as classes GSKit PKCS11 e o local de seu arquivo de configuração PKCS11.
- Anexe o provedor no final da lista de provedores, como o novo provedor numerado mais alto.
- Modifique os exemplos
a seguir para especificar o local de seu
arquivo de configuração.
Algumas das linhas são divididas em diversas linhas para propósitos de exibição. Insira uma linha como uma única linha mesmo se ela for exibida nesta tarefa como diversas linhas.
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- Execute IKEYMAN para armazenar as chaves no dispositivo PKCS11.
Depois de ativar IKEYMAN:
- Selecione Arquivo do Banco de Dados de Chaves no menu e, em seguida, Abrir para navegar para a caixa de diálogo Informações do Banco de Dados de Chaves
- No menu suspenso
para Tipo de Banco de Dados de Chaves, selecione PKCS11Config.
Se PKCS11Config não for uma opção, mas PKCS11Direct for, você terá um erro que deverá corrigir. Verifique seu trabalho de java.security em etapas anteriores. A opção PKCS11Direct não está visível no servidor da Web.
Todos os outros campos se tornam bloqueados, pois os parâmetros são fornecidos a partir do arquivo pkcs11.cfg.
- Clique em OK para navegar para o diálogo Abrir Token Criptográfico.
A etiqueta Etiqueta do Token Criptográfico do dispositivo PKCS11 é exibida no painel. Esta etiqueta vem do campo de nome do arquivo pkcs11.cfg e pode ser diferente da etiqueta de token nativa.
- Execute
as ações a seguir no diálogo Abrir Token Criptográfico.
- Insira a senha de token criptográfico para o dispositivo PKCS11 no campo Senha do Token Criptográfico. A senha foi configurada anteriormente e é específica do hardware. Esta senha geralmente é chamada de PIN do usuário na documentação e nas ferramentas do fornecedor.
- Selecione a opção Criar novo Arquivo do banco de dados de chave secundário e conclua os prompts para criar um novo banco de dados de chaves secundário.
- Clique em OK.
Resultados


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_ikeypkcs11
Nome do arquivo: tihs_ikeypkcs11.html