Oracle Solaris 密钥管理框架功能

开发者和系统管理员在设计使用 PKI 技术的系统时可以在多个不同的密钥库系统之间进行选择。 密钥库是适用于 PKI 对象的存储系统。 Oracle Solaris 用户的主要选择是 NSS、OpenSSL 和 PKCS#11。 这些密钥库系统中的每一个都提供不同的编程接口和管理工具。 这些密钥库系统都不包含任何 PKI 策略实施系统。

KMF 提供通用接口，用于在所有这些密钥库中处理密钥和证书。

• 通用 API 层使开发者能够指定要使用的密钥库类型。 KMF 还为这三个密钥库系统中的每一个提供插件模块，从而使您能够编写新的应用程序来使用这些密钥库中的任何一个。 写入 KMF 的应用程序不绑定到一个密钥库系统。

• 管理实用程序使管理员能够在所有这三个密钥库中管理 PKI 对象。 您无需针对每个密钥库使用不同的实用程序。

KMF 还提供 KMF 应用程序可以使用的系统范围的策略数据库，而不管正在使用哪种密钥库类型。 管理员可以在全局数据库中创建策略定义。 KMF 应用程序可以选择要声明的策略，然后，所有后续 KMF 操作将根据该策略的限制采取相应行为方式。 策略定义包括有关如何执行验证的规则、密钥使用和扩展密钥使用的要求、信任锚定义、联机证书状态协议 (Online Certificate Status Protocol, lOCSP) 参数以及证书撤销列表 (Certificate Revocation List, CRL) DB 参数（如位置）。

Oracle Solaris KMF 包括以下功能：

• 用于开发识别 PKI 的应用程序的编程接口。 这些接口独立于密钥库：接口不会将应用程序绑定到特定密钥库系统（如 NSS、OpenSSL 或 PKCS#11）。

• 用于管理 PKI 对象的管理实用程序。

• 适用于识别 PKI 的应用程序的 PKI 策略数据库和实施系统。 该实施系统独立于密钥库，可以在系统范围内应用。

• 用于为传统系统和专用系统扩展 KMF 的插件接口。

KMF 使用者包括使用证书的任何项目，如基于 X.509 证书的验证服务和智能卡验证。