管理公钥技术

密钥管理框架 (Key Management Framework, KMF) 提供了一种统一管理公钥技术 (public key technology, PKI) 的方法。Oracle Solaris 中有多种不同的应用程序采用了 PKI 技术。每种应用程序都提供自己的编程接口、密钥存储机制和管理实用程序。如果某个应用程序提供了策略执行机制，则此机制将仅适用于该应用程序。借助 KMF，各应用程序可以使用一套统一的管理工具，单一一组编程接口，以及同一个策略执行机制。这些功能可以管理采用这些接口的所有应用程序的 PKI 需求。

KMF 通过以下接口统一管理公钥技术：

• pktool 命令－此命令管理各种密钥库中的 PKI 对象（如证书）。

• kmfcfg 命令－此命令管理 PKI 策略数据库。

  PKI 策略决策包括一些操作，如某项操作的验证方法。此外，PKI 策略还可以限制证书的范围。例如，PKI 策略可以声明某个证书仅可用于特定的目的。这种策略可防止将证书用于其他请求。

• KMF 库－此库包含将底层密钥库机制抽象化的编程接口。

  应用程序不必选择某种特定的密钥库机制，但可以从一种机制迁移到另一种机制。支持的密钥库包括 PKCS #11、NSS 和 OpenSSL。该库具有可插接式框架，因此可添加新的密钥库机制。由于这一原因，使用新机制的应用程序将只需要微小的修改就能使用新密钥库。