配置 J2SE 5.0 PKCS#11 提供者

Application Server 需藉由 J2SE PKCS#11 提供者，在執行階段存取位於 PKCS#11 記號中的金鑰和憑證。依預設，Application Server 會為 NSS 軟體記號配置 J2SE PKCS#11 提供者。本小節說明如何置換 J2SE PKCS#11 提供者的預設配置。

在 Application Server 上，會為每個 PKCS#11 記號產生下列預設的 PKCS#11 配置參數。

• 預設 NSS 軟體記號的配置：

  name=internal library=${com.sun.enterprise.nss.softokenLib} nssArgs="configdir='${com.sun.appserv.nss.db}' certPrefix='' keyPrefix='' secmod='secmod.db'" slot=2 omitInitialize = true

• SCA 1000 硬體加速器的配置：

  name=HW1000 library=/opt/SUNWconn/crypto/lib/libpkcs11.so slotListIndex=0 omitInitialize=true

這些配置符合「Java PKCS#11 Reference Guide」所描述的語法。

只要求名稱參數必須為唯一。J2SE 5.0 有些舊版本僅支援字母數字式的字元。

您可以建立自訂的配置檔案，以置換預設的配置參數。例如，您可以在 SCA–1000 中，明確停用 RSA 密碼和 RSA 金鑰對產生器。如需有關停用 RSA 密碼和 RSA 金鑰對產生器的詳細資訊，請參閱 http://www.mozilla.org/projects/security/pki/nss/tools。

建立自訂的配置檔案：

1. 使用下列程式碼建立名為 as-install/mypkcs11.cfg 的配置檔案，然後儲存該檔案。

   name=HW1000 library=/opt/SUNWconn/crypto/lib/libpkcs11.so slotListIndex=0 disabledMechanisms = { 	CKM_RSA_PKCS 	CKM_RSA_PKCS_KEY_PAIR_GEN } omitInitialize=true

2. 如有必要，請更新 NSS 資料庫。在這個案例中，請更新 NSS 資料庫，這樣才能停用 RSA。

   執行下列指令：

   modutil -undefault "Sun Crypto Accelerator" -dbdir AS_NSS_DB -mechanisms RSA

   mechanisms 清單上的演算法名稱，與預設配置中的演算法名稱不同。如需 NSS 中有效 mechanisms 的清單，請參閱 NSS 安全性工具網站上的 modutil 文件，網址是 http://www.mozilla.org/projects/security/pki/nss/tools。

3. 如下所示進行變更，在適當的位置增加特性以更新伺服器：

   <property name="mytoken" value="&InstallDir;/mypkcs11.cfg"/>

   特性的位置可能是下列其中一處：

   • 若提供者適用於 DAS 或伺服器實例，請將特性增加到相關聯的 <security-service> 之下。

   • 若提供者適用於節點代理程式，請將特性增加到 domain.xml 檔案中，相關聯的 <node-agent> 元素之下。

4. 重新啟動 Application Server。

   自訂配置將在重新啟動後生效。