![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Utilización de IKEYMAN para almacenar claves en un dispositivo PKCS11
Para IBM® HTTP Server, puede utilizar IKEYMAN para almacenar claves en un dispositivo PKCS11.
Antes de empezar
Obtenga información sobre el proveedor de IBMPKCS11Impl en http://www.ibm.com/developerworks/java/jdk/security/60/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html#ConfigFile.
Procedimiento
- Obtenga
el nombre de archivo y la ubicación de la vía de acceso del
controlador criptográfico para almacenar las claves en el dispositivo
PKCS11. A continuación se muestran unos ejemplos de ubicaciones de vía de acceso para los
dispositivos PKCS11:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM e-business Cryptographic
Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- nCipher:
- Si el servidor web y JDK
(Java™ Development
Kit) son de 64 bits, seleccione una biblioteca PKCS11 de proveedor de 64
bits.
En algunas plataformas, al nombre de archivo de la biblioteca PKCS11 de 64 bits se le ha añadido 64.
Puede visualizar la arquitectura del servidor web ejecutando apachectl -V.
Puede visualizar la arquitectura del servidor web ejecutando httpd.exe -V.
- Determine la etiqueta de la señal PKCS11 que utilice.
Las herramientas nativas de proveedor, como por ejemplo pkcsconf -its, a menudo visualizan la etiqueta de la señal.
- Cree un archivo de configuración
PKCS11 que describa el dispositivo PKCS11 utilizando los campos
siguientes:
- library: Vía de acceso completa al controlador PKCS11 adecuado a la arquitectura
- name: El mismo que la etiqueta de señal del paso anterior
- description: Campo de texto con la descripción
- attributes: Un conjunto de atributos que copia literalmente del ejemplo de certificado que el servidor web utiliza
Nota: Con algunos aceleradores criptográficos, necesita una sintaxis alternativa para evitar errores SSL0227E.Ejemplo /opt/HTTPServer/conf/pkcs11.cfg:library = /usr/lib/pkcs11/PKCS11_API.so name = PCI description = descripción attributes(*,CKO_PRIVATE_KEY,*) = {CKA_PRIVATE=true CKA_TOKEN=true)
- Actualice el archivo
java/jre/lib/security/java.security bajo la raíz de
instalación para añadir un nuevo proveedor de seguridad.
- El nuevo proveedor de seguridad debe hacer referencia a las clases GSKit PKCS11 y a la ubicación del archivo de configuración de PKCS11.
- Añada el proveedor al final de la lista de proveedores, como el proveedor con el número más alto.
- Modifique los ejemplos siguientes para
especificar la ubicación del archivo de configuración.
Algunas de las líneas están divididas en varias líneas para fines de visualización. Entre cada línea como una sola línea, aunque en esta tarea aparezca en varias líneas.
# La línea siguiente es el último proveedor de seguridad preexistente. security.provider.12=com... # Añada la línea siguiente. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# La línea siguiente es el último proveedor de seguridad preexistente. security.provider.12=com... # Añada la línea siguiente. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- Ejecute IKEYMAN para almacenar las claves en el dispositivo PKCS11.
Después de ejecutar IKEYMAN:
- Seleccione Key Database File (Archivo de base de datos de claves) en el menú y, a continuación, Open (Abrir) para ir al diálogo de información Base de datos de claves.
- En el menú desplegable de Key Database Type (Tipo
de base de datos de claves), seleccione PKCS11Config.
Si PKCS11Config no es una opción, pero PKCS11Direct sí lo es, tiene un error que debe arreglar. Compruebe el trabajo de java.security en los pasos anteriores. La opción PKCS11Direct no es visible para el servidor web.
Todos los demás campos se bloquean, ya que los parámetros se proporcionan desde el archivo pkcs11.cfg.
- Pulse OK para ir al diálogo Open Cryptographic Token.
La etiqueta Cryptographic Token Label del dispositivo PKCS11 aparece en este panel. Esta etiqueta se obtiene del campo name del archivo pkcs11.cfg y puede ser distinto al de la etiqueta de señal nativa.
- Realice las acciones siguientes en el diálogo
Open Cryptographic Token.
- Escriba la contraseña de la señal criptográfica para el dispositivo PKCS11 en el campo Cryptographic Token Password. La contraseña se ha establecido anteriormente y es específica del hardware. Esta contraseña suele denominarse PIN del usuario en la documentación del proveedor y las herramientas.
- Seleccione la opción Create new secondary key database file (Crear nuevo archivo de base de datos de claves secundaria) y rellene las solicitudes para crear una nueva base de datos de claves secundaria.
- Pulse Aceptar.
Resultados


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_ikeypkcs11
File name: tihs_ikeypkcs11.html