配置 J2SE 5.0 PKCS#11 提供者

Application Server 依靠 J2SE PKCS#11 提供者在运行时访问位于 PKCS#11 令牌中的密钥和证书。默认情况下，Application Server 将针对 NSS 软令牌来配置 J2SE PKCS#11 提供者。本节介绍如何覆盖 J2SE PKCS#11 提供者的默认配置。

在 Application Server 中，将针对每个 PKCS#11 令牌生成以下默认 PKCS#11 配置参数。

• 默认 NSS 软令牌的配置：

  name=internal library=${com.sun.enterprise.nss.softokenLib} nssArgs="configdir='${com.sun.appserv.nss.db}' certPrefix='' keyPrefix='' secmod='secmod.db'" slot=2 omitInitialize = true

• SCA 1000 硬件加速器的配置：

  name=HW1000 library=/opt/SUNWconn/crypto/lib/libpkcs11.so slotListIndex=0 omitInitialize=true

这些配置符合《Java PKCS#11 Reference Guide》中所述的语法。

除了必须唯一之外，对名称参数没有任何要求。某些早期版本的 J2SE 5.0 仅支持字母数字字符。

您可以通过创建自定义配置文件来覆盖默认配置参数。例如，可以在 SCA–1000 中明确禁用 RSA 加密器和 RSA 密钥对生成器。有关禁用 RSA 加密器和 RSA 密钥对生成器的详细信息，请参见 http://www.mozilla.org/projects/security/pki/nss/tools。

要创建自定义配置文件，请执行以下操作：

1. 使用以下代码创建名为 install-dir/mypkcs11.cfg 的配置文件并保存此文件。

   name=HW1000 library=/opt/SUNWconn/crypto/lib/libpkcs11.so slotListIndex=0 disabledMechanisms = { 	CKM_RSA_PKCS 	CKM_RSA_PKCS_KEY_PAIR_GEN } omitInitialize=true

2. 如果有必要，请更新 NSS 数据库。在这种情况下，更新 NSS 数据库以便它禁用 RSA。

   运行以下命令：

   modutil -undefault "Sun Crypto Accelerator" -dbdir AS_NSS_DB -mechanisms RSA

   mechanisms 列表中的算法名称与默认配置中的算法名称不同。有关 NSS 中有效 mechanisms 的列表，请参见 NSS 安全性工具站点 http://www.mozilla.org/projects/security/pki/nss/tools 上的 modutil 文档。

3. 通过在适当位置添加属性使用该更改来更新服务器，如下所示：

   <property name="mytoken" value="&InstallDir;/mypkcs11.cfg"/>

   此属性的位置可以为以下位置之一：

   • 如果提供者用于 DAS 或服务器实例，请在相关的 <security-service> 下添加此属性。

   • 如果提供者用于节点代理，请在 domain.xml 文件中相关的 <node-agent> 元素下添加此属性。

4. 重新启动 Application Server。

   自定义配置将在重新启动后生效。