Verwalten von Cryptographic Framework (Aufgaben)

In diesem Abschnitt wird beschrieben, wie die Software- und Hardwareprovider in Oracle Solaris Cryptographic Framework verwaltet werden. Bei Bedarf kann die Verwendung von Software- und Hardwareprovidern deaktiviert werden. So können Sie zum Beispiel die Implementierung des Algorithmus eines bestimmten Softwareproviders deaktivieren. Anschließend können Sie die Verwendung des Algorithmus eines anderen Softwareproviders durch das System erzwingen.

So listen Sie verfügbare Provider auf

Oracle Solaris Cryptographic Framework stellt Algorithmen für verschiedene Typen von Verbrauchern bereit:

• Provider auf Benutzerebene stellen eine kryptografische PKCS #11-Schnittstelle für Anwendungen bereit, die mit der libpkcs11-Bibliothek verknüpft sind.

• Kernel-Softwareprovider stellen Algorithmen für IPsec, Kerberos und weitere Oracle Solaris-Kernel-Komponenten bereit.

• Kernel-Hardwareprovider stellen verfügbare Algorithmen für Kernel-Verbraucher und Anwendungen über die Bibliothek pkcs11_kernel bereit.

1. Listen Sie die Provider in Kurzformat auf.

   ---

   Hinweis - Inhalt und Format der Providerliste unterscheiden sich je nach Oracle Solaris-Version. Führen Sie den Befehl cryptoadm list auf Ihrem System aus, um die vom System unterstützten Provider anzuzeigen.

   ---

   Nur die Mechanismen auf Benutzerebene stehen gewöhnlichen Benutzern für die Verwendung zur Verfügung.

   % cryptoadm list
   user-level providers:
       /usr/lib/security/$ISA/pkcs11_kernel.so
       /usr/lib/security/$ISA/pkcs11_softtoken.so
   
   kernel software providers:
       des
       aes
       blowfish
       arcfour
       sha1
       md5
       rsa
   
   kernel hardware providers:
       ncp/0

2. Listen Sie die Provider und die dazugehörigen Mechanismen in Oracle Solaris Cryptographic Framework auf.

   Alle Mechanismen werden in der nachfolgenden Ausgabe aufgeführt. Dennoch können einige der aufgelisteten Mechanismen möglicherweise nicht verwendet werden. In Beispiel 14-16 wird die Liste auf diejenigen Mechanismen reduziert, die der Administrator für die Verwendung zugelassen hat.

   Die Ausgabe wird zu Anzeigezwecken neu formatiert.

   % cryptoadm list -m
   user-level providers:
   =====================
   /usr/lib/security/$ISA/pkcs11_kernel.so: CKM_MD5,CKM_MD5_HMAC,
   CKM_MD5_HMAC_GENERAL,CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL,
   …
   /usr/lib/security/$ISA/pkcs11_softtoken.so: 
   CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
   CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
   CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,
   …
   kernel software providers:
   ==========================
   des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC
   aes: CKM_AES_ECB,CKM_AES_CBC
   blowfish: CKM_BF_ECB,CKM_BF_CBC
   arcfour: CKM_RC4
   sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL
   md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL
   rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS
   swrand: No mechanisms presented.
   
   kernel hardware providers:
   ==========================
   ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN,
   CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN,
   CKM_ECDH1_DERIVE,CKM_ECDSA

Beispiel 14-15 Suchen der vorhandenen kryptografischen Mechanismen

Im folgenden Beispiel werden alle von der Bibliothek auf Benutzerebene (pkcs11_softtoken) bereitgestellten Mechanismen aufgeführt.

% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
Mechanisms:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
…
CKM_SSL3_KEY_AND_MAC_DERIVE,CKM_TLS_KEY_AND_MAC_DERIVE

Beispiel 14-16 Suchen der verfügbaren kryptografischen Mechanismen

Eine Richtlinie bestimmt, welche Mechanismen für die Verwendung zur Verfügung stehen. Der Administrator legt die Richtlinie fest. Ein Administrator kann Mechanismen eines bestimmten Providers nach Bedarf deaktivieren. Die Option -p zeigt die Liste der Mechanismen an, die von der vom Administrator festgelegten Richtlinie zugelassen werden.

% cryptoadm list -p
user-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled.
random is enabled.
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.

kernel software providers:
==========================
des: all mechanisms are enabled.
aes: all mechanisms are enabled.
blowfish: all mechanisms are enabled.
arcfour: all mechanisms are enabled.
sha1: all mechanisms are enabled.
md5: all mechanisms are enabled.
rsa: all mechanisms are enabled.
swrand: random is enabled.

kernel hardware providers:
==========================
ncp/0: all mechanisms are enabled.

So fügen Sie einen Softwareprovider hinzu

1. Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.

   Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Listen Sie die Softwareprovider auf, die dem System zur Verfügung stehen.

   % cryptoadm list
   user-level providers:
       /usr/lib/security/$ISA/pkcs11_kernel.so
       /usr/lib/security/$ISA/pkcs11_softtoken.so
   
   kernel software providers:
       des
       aes
       blowfish
       arcfour
       sha1
       md5
       rsa
   
   kernel hardware providers:
       ncp/0

3. Fügen Sie das Paket des Providers mit dem Befehl pkgadd hinzu.

   # pkgadd -d /path/to/package pkginst

   Das Paket muss Software enthalten, die durch ein Zertifikat von Oracle signiert wurde. Informationen zum Anfordern eines Zertifikats von Oracle und zum Signieren eines Providers finden Sie in Anhang F, Packaging and Signing Cryptographic Providers in Developer’s Guide to Oracle Solaris Security.

   Das Paket sollte Skripten aufweisen, die das kryptografische Framework benachrichtigen, dass ein weiterer Provider mit einer Gruppe von Mechanismen verfügbar ist. Weitere Informationen zu Packaging-Anforderungen finden Sie in Anhang F, Packaging and Signing Cryptographic Providers in Developer’s Guide to Oracle Solaris Security.

4. Aktualisieren Sie die Provider.

   Sie müssen Provider aktualisieren, wenn Sie einen Softwareprovider hinzugefügt haben oder Hardware und eine angegebene Richtlinie für die Hardware hinzugefügt haben.

   # svcadm refresh svc:/system/cryptosvc

5. Suchen Sie den neuen Provider in der Liste.

   In diesem Fall wurde ein neuer Kernel-Softwareprovider installiert.

   # cryptoadm list 
   …
   kernel software providers:
       des
       aes
       blowfish
       arcfour
       sha1
       md5
       rsa
       swrand
       ecc <-- added provider
   …

Beispiel 14-17 Hinzufügen eines Softwareproviders auf Benutzerebene

Im folgenden Beispiel ist eine signierte PKCS #11-Bibliothek installiert.

# pkgadd -d /cdrom/cdrom0/SolarisNew
Answer the prompts
# svcadm refresh system/cryptosvc
# cryptoadm list
user-level providers:
==========================
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so
    /opt/SUNWconn/lib/$ISA/libpkcs11.so.1 <-- added provider

Entwickler, die eine Bibliothek mit dem kryptografischen Framework testen, können die Bibliothek manuell installieren.

# cryptoadm install provider=/opt/SUNWconn/lib/\$ISA/libpkcs11.so.1

Informationen zum Abrufen Ihres signierten Providers finden Sie unter Binäre Signaturen für Drittanbietersoftware.

So verhindern Sie die Verwendung eines Mechanismus auf Benutzerebene

Wenn einige der kryptografischen Mechanismen eines Bibliotheksproviders nicht verwendet werden sollen, können Sie ausgewählte Mechanismen entfernen. In diesem Beispielverfahren werden DES-Mechanismen in der Bibliothek pkcs11_softtoken verwendet.

1. Melden Sie sich als Superuser an oder nehmen Sie eine Rolle an, die das Berechtigungsprofil von Crypto Management enthält.

   In Beispiel 9-7 werden die Erstellung einer Rolle mit dem Crypto Management-Berechtigungsprofil und die Zuweisung der Rolle zu einem Benutzer dargestellt.

2. Listen Sie die Mechanismen auf, die von einem bestimmten Softwareprovider auf Benutzerebene bereitgestellt werden.

   % cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
   /usr/lib/security/$ISA/pkcs11_softtoken.so:
   CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
   CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
   CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN,
   …

3. Listen Sie die für die Verwendung zur Verfügung stehenden Mechanismen auf.

   $ cryptoadm list -p
   user-level providers:
   =====================
   …
   /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
   random is enabled.
   …

4. Deaktivieren Sie die Mechanismen, die nicht verwendet werden sollen.

   $ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
   > mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB

5. Listen Sie die für die Verwendung zur Verfügung stehenden Mechanismen auf.

   $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
   /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
   except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Beispiel 14-18 Aktivieren eines Mechanismus eines Softwareproviders auf Benutzerebene

Im folgenden Beispiel wird ein deaktivierter DES-Mechanismus erneut für die Verwendung verfügbar gemacht.

$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so:
CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN,
CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN,
…
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \
> mechanism=CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled,
except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.

Beispiel 14-19 Aktivieren aller Mechanismen eines Softwareproviders auf Benutzerebene

Im folgenden Beispiel werden alle Mechanismen der Bibliothek auf Benutzerebene aktiviert.

$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so
/usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled.
random is enabled.

Beispiel 14-20 Dauerhaftes Entfernen der Verfügbarkeit von Softwareprovidern auf Benutzerebene

Im folgenden Beispiel wird die Bibliothek libpkcs11.so.1 entfernt.

$ cryptoadm uninstall provider=/opt/SUNWconn/lib/\$ISA/libpkcs11.so.1
$ cryptoadm list
user-level providers:
    /usr/lib/security/$ISA/pkcs11_kernel.so
    /usr/lib/security/$ISA/pkcs11_softtoken.so

kernel software providers:
…

So verhindern Sie die Verwendung eines Kernel-Modul-Softwareproviders

Stellt das kryptografische Framework verschiedene Modi eines Providers wie z. B. AES bereit, können Sie die Verwendung eines langsamen oder beschädigten Mechanismus deaktivieren. In diesem Beispielverfahren wird der AES-Algorithmus verwendet.

1. Melden Sie sich als Superuser an oder nehmen Sie eine Rolle an, die das Berechtigungsprofil von Crypto Management enthält.

   In Beispiel 9-7 werden die Erstellung einer Rolle mit dem Crypto Management-Berechtigungsprofil und die Zuweisung der Rolle zu einem Benutzer dargestellt.

2. Listen Sie die Mechanismen auf, die von einem bestimmten Kernel-Softwareprovider bereitgestellt werden.

   $ cryptoadm list -m provider=aes
   aes: CKM_AES_ECB,CKM_AES_CBC

3. Listen Sie die für die Verwendung zur Verfügung stehenden Mechanismen auf.

   $ cryptoadm list -p provider=aes
   aes: all mechanisms are enabled.

4. Deaktivieren Sie den Mechanismus, der nicht verwendet werden soll.

   $ cryptoadm disable provider=aes mechanism=CKM_AES_ECB

5. Listen Sie die für die Verwendung zur Verfügung stehenden Mechanismen auf.

   $ cryptoadm list -p provider=aes
   aes: all mechanisms are enabled, except CKM_AES_ECB.

Beispiel 14-21 Aktivieren eines Mechanismus eines Kernel-Softwareproviders

Im folgenden Beispiel wird ein deaktivierter AES-Mechanismus erneut für die Verwendung verfügbar gemacht.

cryptoadm list -m provider=aes
aes: CKM_AES_ECB,CKM_AES_CBC
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled, except CKM_AES_ECB.
$ cryptoadm enable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes
aes: all mechanisms are enabled.

Beispiel 14-22 Vorübergehendes Entfernen des Kernel-Softwareproviders

Im folgenden Beispiel wird die Verwendung des AES-Providers vorübergehend deaktiviert. Der Unterbefehl unload ist hilfreich, wenn verhindert werden soll, dass ein Provider während des Deinstallierens automatisch geladen wird. Beispielsweise wird der Unterbefehl unload verwendet, wenn Sie ein sich auf den Provider auswirkendes Patch installieren.

$ cryptoadm unload provider=aes

$ cryptoadm list 
…
kernel software providers:
    des
    aes (inactive)
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

Der AES-Provider steht erst nach Aktualisierung des kryptografischen Frameworks zur Verfügung.

$ svcadm refresh system/cryptosvc

$ cryptoadm list 
…
kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

Verwendet ein Kernel-Verbraucher den Kernel-Softwareprovider, wird die Software nicht entfernt. Es wird eine Fehlermeldung angezeigt und der Provider steht weiterhin für die Verwendung zur Verfügung.

Beispiel 14-23 Dauerhaftes Entfernen der Verfügbarkeit von Softwareprovidern

Im folgenden Beispiel wird die Verwendung des AES-Providers dauerhaft deaktiviert. Danach wird der AES-Provider nicht mehr in der Richtlinienliste der Kernel-Softwareprovider angezeigt.

$ cryptoadm uninstall provider=aes

$ cryptoadm list 
…
kernel software providers:
    des
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

Verwendet ein Kernel-Verbraucher den Kernel-Softwareprovider, wird eine Fehlermeldung angezeigt und der Provider steht weiterhin für die Verwendung zur Verfügung.

Beispiel 14-24 Neuinstallieren eines entfernten Kernel-Softwareproviders

Im folgenden Beispiel wird der Kernel-Softwareprovider AES neu installiert.

$ cryptoadm install provider=aes mechanism=CKM_AES_ECB,CKM_AES_CBC

$ cryptoadm list 
…
kernel software providers:
    des
    aes
    blowfish
    arcfour
    sha1
    md5
    rsa
    swrand

So listen Sie Hardwareprovider auf

Hardwareprovider werden automatisch gesucht und geladen. Weitere Informationen finden Sie auf der Manpage driver.conf(4).

Bevor Sie beginnen

Wenn Sie über Hardware verfügen, die voraussichtlich in Oracle Solaris Cryptographic Framework zum Einsatz kommt, wird die Hardware mit der SPI im Kernel registriert. Das Framework überprüft, ob der Hardwaretreiber signiert ist. Insbesondere prüft es, ob die Objektdatei des Treibers mit einem von Oracle ausgestellten Zertifikat signiert ist.

Zum Beispiel werden Hardwaremechanismen über das Sun Crypto Accelerator 6000-Board (mca), den ncp-Treiber für den kryptografischen Beschleuniger auf den UltraSPARC T1- und T2-Prozessoren (ncp) und den n2cp-Treiber für die UltraSPARC T2-Prozessoren (n2cp) an das Framework angeschlossen.

Informationen zum Abrufen Ihres signierten Providers finden Sie unter Binäre Signaturen für Drittanbietersoftware.

1. Listen Sie die Hardwareprovider auf, die auf dem System zur Verfügung stehen.

   % cryptoadm list
   … 
   kernel hardware providers:
      ncp/0

2. Listen Sie die Mechanismen auf, die der Chip oder das Board bereitstellt.

   % cryptoadm list -m provider=ncp/0
   ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN,
   CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN,
   CKM_ECDH1_DERIVE,CKM_ECDSA

3. Listen Sie die Mechanismen auf, die auf dem Chip oder Board für die Verwendung zur Verfügung stehen.

   % cryptoadm list -p provider=ncp/0
   ncp/0: all mechanisms are enabled.

So deaktivieren Sie Mechanismen und Funktionen eines Hardwareproviders

Sie können Mechanismen sowie die Zufallszahlfunktion eines Hardwareproviders selektiv deaktivieren. In Beispiel 14-25 wird dargestellt, wie sie erneut aktiviert werden. Die in diesem Beispiel verwendete Hardware, das Sun Crypto Accelerator 1000-Board, stellt einen Generator für Zufallszahlen bereit.

1. Melden Sie sich als Superuser an oder nehmen Sie eine Rolle an, die das Berechtigungsprofil von Crypto Management beinhaltet.

   In Beispiel 9-7 werden die Erstellung einer Rolle mit dem Crypto Management-Berechtigungsprofil und die Zuweisung der Rolle zu einem Benutzer dargestellt.

2. Wählen Sie die Mechanismen oder die Funktion, die Sie deaktivieren möchten.

   Listen Sie den Hardwareprovider auf.

   # cryptoadm list
   ...
   Kernel hardware providers:
       dca/0

   • Deaktivieren Sie ausgewählte Mechanismen.

     # cryptoadm list -m provider=dca/0
     dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC
     random is enabled.
     # cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC
     # cryptoadm list -p provider=dca/0
     dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC.
     random is enabled.

   • Deaktivieren Sie den Generator für Zufallszahlen.

     # cryptoadm list -p provider=dca/0
     dca/0: all mechanisms are enabled. random is enabled.
     # cryptoadm disable provider=dca/0 random
     # cryptoadm list -p provider=dca/0
     dca/0: all mechanisms are enabled. random is disabled.

   • Deaktivieren Sie alle Mechanismen. Deaktivieren Sie nicht den Generator für Zufallszahlen.

     # cryptoadm list -p provider=dca/0
     dca/0: all mechanisms are enabled. random is enabled.
     # cryptoadm disable provider=dca/0 mechanism=all
     # cryptoadm list -p provider=dca/0
     dca/0: all mechanisms are disabled. random is enabled.

   • Deaktivieren Sie sämtliche Funktionen und Mechanismen der Hardware.

     # cryptoadm list -p provider=dca/0
     dca/0: all mechanisms are enabled. random is enabled.
     # cryptoadm disable provider=dca/0 all
     # cryptoadm list -p provider=dca/0
     dca/0: all mechanisms are disabled. random is disabled.

Beispiel 14-25 Aktivieren von Mechanismen und Funktionen auf einem Hardwareprovider

In den folgenden Beispielen werden deaktivierte Mechanismen einer Hardwarekomponente selektiv aktiviert.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB

.
random is enabled.
# cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled except CKM_DES_ECB. 
random is enabled.

Im folgenden Beispiel wird nur der Zufallsgenerator aktiviert.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. 
random is disabled.
# cryptoadm enable provider=dca/0 random
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is enabled.

Im folgenden Beispiel werden nur die Mechanismen aktiviert. Der Zufallsgenerator ist weiterhin deaktiviert.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,….
random is disabled.
# cryptoadm enable provider=dca/0 mechanism=all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is disabled.

Im folgenden Beispiel werden sämtliche Funktionen und Mechanismen auf dem Board aktiviert.

# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB.
random is disabled.
# cryptoadm enable provider=dca/0 all
# cryptoadm list -p provider=dca/0
dca/0: all mechanisms are enabled. random is enabled.

So führen Sie eine Aktualisierung oder einen Neustart aller kryptografischen Services durch

Standardmäßig ist Oracle Solaris Cryptographic Framework aktiviert. Schlägt der Dämon kcfd aus irgendeinem Grund fehl, kann SMF (Service Management Facility) zum Neustarten kryptografischer Services verwendet werden. Weitere Informationen finden Sie auf den Manpages smf(5) und svcadm(1M). Informationen zur Auswirkung des Neustarts kryptografischer Services auf Zonen finden Sie unter Kryptografische Services und Zonen.

1. Überprüfen Sie den Status kryptografischer Services.

   % svcs cryptosvc
    STATE          STIME    FMRI
   offline         Dec_09   svc:/system/cryptosvc:default

2. Melden Sie sich als Superuser an oder nehmen Sie eine entsprechende Rolle an, um kryptografische Services zu aktivieren.

   Rollen umfassen Autorisierungen und privilegierte Befehle. Weitere Informationen zu Rollen finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte).

   # svcadm enable svc:/system/cryptosvc

Beispiel 14-26 Aktualisieren kryptografischer Services

Im folgenden Beispiel werden kryptografische Services in der globalen Zone aktualisiert. Infolgedessen wird die Kryptografierichtlinie auf Kernel-Ebene in allen nicht globalen Zonen ebenfalls aktualisiert.

# svcadm refresh system/cryptosvc