跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11 开发者安全性指南 Oracle Solaris 11 Information Library (简体中文) |
开发者和系统管理员在设计使用 PKI 技术的系统时可以在多个不同的密钥库系统之间进行选择。 密钥库是适用于 PKI 对象的存储系统。 Oracle Solaris 用户的主要选择是 NSS、OpenSSL 和 PKCS#11。 这些密钥库系统中的每一个都提供不同的编程接口和管理工具。 这些密钥库系统都不包含任何 PKI 策略实施系统。
KMF 提供通用接口,用于在所有这些密钥库中处理密钥和证书。
通用 API 层使开发者能够指定要使用的密钥库类型。 KMF 还为这三个密钥库系统中的每一个提供插件模块,从而使您能够编写新的应用程序来使用这些密钥库中的任何一个。 写入 KMF 的应用程序不绑定到一个密钥库系统。
管理实用程序使管理员能够在所有这三个密钥库中管理 PKI 对象。 您无需针对每个密钥库使用不同的实用程序。
KMF 还提供 KMF 应用程序可以使用的系统范围的策略数据库,而不管正在使用哪种密钥库类型。 管理员可以在全局数据库中创建策略定义。 KMF 应用程序可以选择要声明的策略,然后,所有后续 KMF 操作将根据该策略的限制采取相应行为方式。 策略定义包括有关如何执行验证的规则、密钥使用和扩展密钥使用的要求、信任锚定义、联机证书状态协议 (Online Certificate Status Protocol, lOCSP) 参数以及证书撤销列表 (Certificate Revocation List, CRL) DB 参数(如位置)。
Oracle Solaris KMF 包括以下功能:
用于开发识别 PKI 的应用程序的编程接口。 这些接口独立于密钥库:接口不会将应用程序绑定到特定密钥库系统(如 NSS、OpenSSL 或 PKCS#11)。
用于管理 PKI 对象的管理实用程序。
适用于识别 PKI 的应用程序的 PKI 策略数据库和实施系统。 该实施系统独立于密钥库,可以在系统范围内应用。
用于为传统系统和专用系统扩展 KMF 的插件接口。
KMF 使用者包括使用证书的任何项目,如基于 X.509 证书的验证服务和智能卡验证。