![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
IKEYMAN을 사용한 PKCS11 디바이스에 키 저장
IBM® HTTP Server의 경우 PKCS11 디바이스에 키를 저장하기 위해 IKEYMAN을 사용할 수 있습니다.
시작하기 전에
http://www.ibm.com/developerworks/java/jdk/security/60/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html#ConfigFile에 있는 IBMPKCS11Impl 제공자에 대해 읽으십시오.
프로시저
- PKCS11 디바이스에 키를 저장하기 위해 암호화 드라이버의
파일 이름과 경로 위치를 확보하십시오. 다음은
PKCS11 디바이스의 경로 위치 예입니다.
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM e-business Cryptographic
Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- nCipher:
- 웹 서버와 JDK(Java™ Development Kit)가
64비트인 경우 64비트 공급업체 PKCS11 라이브러리를 선택하십시오.
일부 플랫폼에서 64비트 PKCS11 라이브러리 파일 이름은 64가 첨부됩니다.
apachectl -V를 실행하여 웹 서버의 아키텍처를 표시할 수 있습니다.
httpd.exe -V를 실행하여 웹 서버의 아키텍처를 표시할 수 있습니다.
- 사용하는 PKCS11 토큰의 토큰 레이블을
판별하십시오.
pkcsconf -its 같은 기본 공급업체 도구가 종종 토큰 레이블을 표시합니다.
- 다음 필드를 사용하여 PKCS11 디바이스를 설명하는 PKCS11
구성 파일을 작성하십시오.
- library: 적합한 아키텍처 PKCS11 드라이버의 전체 경로
- name: 이전 단계의 토큰 레이블과 동일함
- description: 설명을 포함하는 텍스트 필드
- attributes: 웹 서버가 사용하는 인증서 예에서 글자 그대로 복사하는 속성 세트
참고: 일부 Cryptographic Accelerator에서는 SSL0227E 오류를 피하기 위해 대체 구문이 필요합니다./opt/HTTPServer/conf/pkcs11.cfg example:library = /usr/lib/pkcs11/PKCS11_API.so name = PCI description = description attributes(*,CKO_PRIVATE_KEY,*) = {CKA_PRIVATE=true CKA_TOKEN=true)
- 설치 루트에 있는 java/jre/lib/security/java.security
파일을 업데이트하여 새 보안 제공자를 추가하십시오.
- 새 보안 제공자가 GSKit PKCS11 클래스 및 PKCS11 구성 파일의 위치를 참조하게 하십시오.
- 해당 제공자를 제공자 목록의 끝에 새로운 최고 번호의 제공자로서 추가하십시오.
- 다음 예를 수정하여 구성 파일의 위치를
지정하십시오.
일부 행은 표시 목적으로 복수 행으로 분할됩니다. 이 태스크에서는 복수 행으로 표시되는 경우에도 단일 행으로 행을 입력하십시오.
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# The following line is the last pre-existing security provider. security.provider.12=com... # Add the following line. security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- IKEYMAN을 실행하여 PKCS11 디바이스에 키를 저장하십시오.
IKEYMAN을 실행한 후,
- 메뉴에서 키 데이터베이스 파일을 선택한 후 열기를 선택하여 키 데이터베이스 정보 대화 상자로 이동하십시오.
- 키 데이터베이스 유형의 드롭 다운에서
PKCS11Config를 선택하십시오.
PKCS11Config는 옵션이 아니지만 PKCS11Direct는 옵션인 경우 수정해야 하는 오류가 있습니다. 이전 단계에서의 java.security 작업을 확인하십시오. PKCS11Direct 옵션은 웹 서버에 보이지 않습니다.
매개변수가 pkcs11.cfg 파일로부터 제공되므로 다른 모든 필드가 잠깁니다.
- 확인을 클릭하여 암호화 토큰
열기 대화 상자로 이동하십시오.
PKCS11 디바이스의 암호화 토큰 레이블 레이블이 패널에 표시됩니다. 이 레이블은 pkcs11.cfg 파일의 이름 필드에서 오며, 기본 토큰 레이블과 다를 수 있습니다.
- 암호화 토큰 열기 대화 상자에서 다음
조치를 완료하십시오.
- 암호화 토큰 비밀번호 필드에 PKCS11 디바이스에 대한 암호화 토큰 비밀번호를 입력하십시오. 비밀번호는 이전에 설정되었으며 하드웨어에 따라 다릅니다. 이 비밀번호를 공급업체 문서 및 도구에서는 종종 사용자 PIN이라고 부릅니다.
- 새 보조 키 데이터베이스 파일 작성 옵션을 선택하고 새 보조 키 데이터베이스 작성을 위한 프롬프트를 완료하십시오.
- 확인을 클릭하십시오.
결과


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_ikeypkcs11
파일 이름:tihs_ikeypkcs11.html