对于要使用外部 PKCS#11 令牌的 Web Server 的 SSL 子系统 (NSS),您必须使用 modutil 命令配置 NSS 以使其可以识别令牌。Solaris libpkcs11 软件令牌是一个可与 NSS 结合使用的 PKCS#11 兼容令牌。由于 UltraSPARC-T1 的另一个优点,使用 Solaris 10 libpkcs11 的系统将可以使用平台加密加速支持。
运行不带任何参数的 modutil 命令以获得用法信息。例如,要将 Solaris 10 libpkcs11 库添加为 NSS 中的 PKCS11 令牌,
请确保已为 Web Server 实例初始化 SSL 支持。您可以使用管理 GUI 执行该操作。
运行以下命令:
% modutil -dbdir $ALIASDIR -dbprefix $PREFIX -add libpkcs -libfile /usr/lib/libpkcs11.so -mechanisms RSA
其中,
$ALIASDIR 是 NSS 数据库文件所在的安装根目录中 alias 目录的路径。
$PREFIX 是 alias 目录中 key3/cer8 数据库文件所使用的前缀,并且采用 https-$INSTANCENAME- 形式。
请注意 -mechanisms 标志,该标志使此令牌成为指定算法的首选初始提供者。
运行不带任何参数的 modutil 命令以获得所有可能机制的列表。
在使用 libpkcs11 提供者之前,请先使用 pktool 初始化其密码:
% pktool setpin
有关配置 NSS 的详细信息,请参见手册页和参考:
libpkcs11(3LIB):http://docs.sun.com/app/docs/doc/816-5173/6mbb8aduq?a=view
pkcs11_softtoken(5):http://docs.sun.com/app/docs/doc/816-5175/6mbba7f37?a=view
pktool(1): http://docs.sun.com/app/docs/doc/816-5165/6mbb0m9oj?q=pktool&a=view
modutil:http://www.mozilla.org/projects/security/pki/nss/tools/modutil.html