生成要零售出口的激活文件

在针对国内使用和受限制的国际使用提供同一提供者时，此过程非常有用。可以使用对所有消费方都有使用限制的证书密钥来签署提供者。对于使用提供者时不受基于调用程序限制的那些消费方而言，可以生成和包括允许与 IPsec 一同使用的特殊激活文件。激活文件应该与提供者位于相同的目录中。激活文件的命名约定是将驱动程序名称与扩展名 .esa 组合起来，例如 /kernel/drv/vca.esa。

签署提供者。使用 elfsign sign 命令、Sun 颁发的证书，以及用于从 Sun 申请证书的私钥。

% elfsign sign -a -k private-keyfile -c Sun-certificate -e provider-object

-a

生成已签署的 ELF 签名激活 (.esa) 文件。当加密提供者需要非零售出口批准和零售批准时，可以使用此选项。通过限制与出口有关的调用程序（如 IPsec），可以获得零售批准。此选项假设以前已使用受限制的证书签署了提供者二进制文件。

-k

包含用于生成证书申请（已发送给 Sun Microsystems, Inc）的私钥的文件。

-c

Sun 根据证书申请所颁发的证书的路径。

-e

指向待签名的、将在 Solaris 加密框架中使用的提供者或二进制文件的路径。

以下示例说明如何签署提供者。

% elfsign sign \ -a \ -k /securecrypt/private/MyCompany.private.key \ -c /etc/crypto/certs/MyCompany -e /path/to/provider.object