![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
使用 IKEYMAN 將金鑰儲存在 PKCS11 裝置上
針對 IBM® HTTP Server,您可以使用 IKEYMAN 將金鑰儲存在 PKCS11 裝置上。
開始之前
請參閱 IBMPKCS11Impl 提供者的相關資訊,網址為 http://www.ibm.com/developerworks/java/jdk/security/60/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html#ConfigFile。
程序
- 取得加密驅動程式的檔名和路徑位置,以將金鑰儲存在 PKCS11 裝置上。 以下是 PKCS11 裝置的路徑位置範例:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM 電子商務加密加速器
/usr/lib/pkcs11/PKCS11_API.so
- nCipher:
- 如果 Web 伺服器和 Java™ Development Kit (JDK) 是 64 位元,則選取 64 位元供應商 PKCS11 程式庫。
在某些平台上,64 位元 PKCS11 程式庫檔名後面會加上 64。
您可以執行 apachectl -V 來顯示 Web 伺服器的架構。
您可以執行 httpd.exe -V 來顯示 Web 伺服器的架構。
- 判定您使用之 PKCS11 記號的記號標籤。
原生供應商工具(例如 pkcsconf -its)通常顯示記號標籤。
- 使用下列欄位來建立 PKCS11 配置檔,以說明您的 PKCS11 裝置:
- library:正確的架構 PKCS11 驅動程式的完整路徑
- name:與前一個步驟的記號標籤相同
- description:包含您的說明的文字欄位
- attributes:您從 Web 伺服器使用之憑證範例逐項複製的一組屬性
註: 使用某些加密加速器時,會需要替代語法,以避免 SSL0227E 錯誤。/opt/HTTPServer/conf/pkcs11.cfg 範例:library = /usr/lib/pkcs11/PKCS11_API.so name = PCI description = description attributes(*,CKO_PRIVATE_KEY,*) = {CKA_PRIVATE=true CKA_TOKEN=true)
- 更新安裝根目錄下的 java/jre/lib/security/java.security 檔案,以新增安全提供者。
- 使新的安全提供者參照 GSKit PKCS11 類別以及 PKCS11 配置檔的位置。
- 將提供者附加到提供者清單結尾,以作為新的最高編號提供者。
- 修改下列範例,以指定配置檔的位置。
某些字行為了方便顯示而分成好幾行。即使在此作業中顯示成好幾行,還是要輸入成一行。
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- 執行 IKEYMAN 以將金鑰儲存在 PKCS11 裝置上。
啟動 IKEYMAN 之後:
- 從功能表中選取金鑰資料庫檔,然後選取開啟,以導覽至「金鑰資料庫資訊」對話框。
- 從金鑰資料庫類型的下拉清單中選取 PKCS11Config。
如果沒有 PKCS11Config 選項,但有 PKCS11Direct,則有您必須修正的錯誤。請檢查先前步驟中的 java.security 工作。Web 伺服器應該看不到 PKCS11Direct 選項。
所有其他欄位都被鎖定,因為參數都是從 pkcs11.cfg 檔案提供的。
- 按一下確定,以導覽至開啟加密記號對話框。
畫面中會顯示 PKCS11 裝置的加密記號標籤。此標籤來自 pkcs11.cfg 檔案的名稱欄位,可能不同於原生記號標籤。
- 在開啟加密記號對話框中完成下列動作。
- 在加密記號密碼欄位中輸入 PKCS11 裝置的加密記號密碼。密碼是先前設定的,並且為硬體特定的密碼。在供應商說明文件和工具中,此密碼通常稱為使用者 PIN。
- 選取建立新的次要金鑰資料庫檔案選項,並完成建立新的次要金鑰資料庫的提示。
- 按一下確定。
結果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_ikeypkcs11
檔名:tihs_ikeypkcs11.html