リテール版の輸出用の起動ファイルを作成するには

この手順は、国内での使用と制限された国外での使用のために同じプロバイダが出荷される場合に役に立ちます。すべての顧客に対して使用制限付き証明書の鍵を使ってプロバイダに署名します。呼び出し側に基づいた制限のないプロバイダを使用する顧客に対しては、IPsec での使用を許可する特別な起動ファイルを作成して組み込みます。起動ファイルは、プロバイダと同じディレクトリに存在させる必要があります。起動ファイルの命名規則では、ドライバの名前に拡張子 .esa を追加します (例: /kernel/drv/vca.esa)。

1. プロバイダに署名します。elfsign sign コマンド、Sun から受け取った証明書、および Sun の証明書を要求するための非公開鍵を使用します。

   % elfsign sign -a -k private-keyfile -c Sun-certificate -e provider-object

   -a

   署名付きの ELF 署名用起動 (.esa) ファイルを作成します。このオプションは、暗号化プロバイダが非リテール版の輸出の承認とリテール版の輸出の承認の両方を必要とする場合に使用します。リテール版の承認を行うには、IPsec などの輸出の影響を受けやすい呼び出し側を制限します。このオプションは、プロバイダのバイナリが制限付きの証明書であらかじめ署名されているものとします。

   -k

   Sun Microsystems, Inc. に送信された証明書要求の作成に使用された非公開鍵が含まれているファイル。

   -c

   証明書要求によって Sun から発行された証明書へのパス。

   -e

   Solaris 暗号化フレームワーク内で使用するために署名されるプロバイダ (バイナリ) へのパス。

   次の例は、プロバイダに署名する方法を示しています。

   % elfsign sign \ -a \ -k /securecrypt/private/MyCompany.private.key \ -c /etc/crypto/certs/MyCompany -e /path/to/provider.object