本节介绍如何使用 NSS 安全性工具 modutil 来配置 PKCS#11 令牌。可以使用以下过程配置 PKCS#11 令牌。
输入以下命令(在一行中输入全部内容):
modutil -dbdir AS_NSS_DB -nocertdb -force -add moduleName -libfile absolute_path_of_pkcs11_library -mechanisms list_of_security_mechanisms
其中,AS_NSS_DB 是 NSS 数据库目录(如同使用域管理服务器 (Domain Administration Server, DAS) 时的 AS_DOMAIN_CONFIG)
例如,要配置硬件加速器令牌,请输入以下命令(在一行中输入全部内容):
modutil -dbdir AS_NSS_DB -nocertdb -force -add "Sun Crypto Accelerator" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so -mechanisms RSA:DSA:RC4:DES
在本例中,硬件加速器为 SCA–1000 加密加速器。默认情况下,相应的 PKCS#11 库位于 /opt/SUNWconn/crypto/lib/libpkcs11.so 中。
mechanisms 必须是可用于令牌中的加密机制的完整列表。要仅使用少数可用的加密机制,请参见配置 J2SE 5.0 PKCS#11 提供者。有关所有支持的机制的列表,请参见 NSS Security Tools 站点 http://www.mozilla.org/projects/security/pki/nss/tools 上的 modutil 文档。
下面的示例假设在安装令牌时指定的令牌名称为 mytoken。
要检验硬件加速器配置是否正确,请输入以下命令:
modutil -list -dbdir AS_NSS_DB
标准输出类似于以下内容:
Using database directory /var/opt/SUNWappserver/domains/domain1/config ... Listing of PKCS#11 Modules ----------------------------------------------------------- 1. NSS Internal PKCS#11 Module slots: 2 slots attached status: loaded slot: NSS Internal Cryptographic Services token: NSS Generic Crypto Services slot: NSS User Private Key and Certificate Services token: NSS Certificate DB 2. Sun Crypto Accelerator library name: /opt/SUNWconn/crypto/lib/libpkcs11.so slots: 1 slot attached status: loaded slot: Sun Crypto Accelerator:mytoken token: mytoken ----------------------------------------------------------- |