JavaScript is required to for searching.
跳过导航链接
退出打印视图
手册页第 1 部分:用户命令     Oracle Solaris 11 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

简介

用户命令

acctcom(1)

adb(1)

addbib(1)

admin(1)

alias(1)

allocate(1)

amt(1)

appcert(1)

apptrace(1)

apropos(1)

ar(1)

arch(1)

as(1)

asa(1)

at(1)

atq(1)

atrm(1)

audioconvert(1)

audioctl(1)

audioplay(1)

audiorecord(1)

audiotest(1)

auths(1)

auto_ef(1)

awk(1)

banner(1)

basename(1)

basename(1B)

batch(1)

bc(1)

bdiff(1)

bfs(1)

bg(1)

biff(1B)

break(1)

builtin(1)

cal(1)

calendar(1)

case(1)

cat(1)

cd(1)

cdc(1)

cdrw(1)

chdir(1)

checkeq(1)

checknr(1)

chgrp(1)

chkey(1)

chmod(1)

chown(1)

chown(1B)

ckdate(1)

ckgid(1)

ckint(1)

ckitem(1)

ckkeywd(1)

ckpath(1)

ckrange(1)

ckstr(1)

cksum(1)

cktime(1)

ckuid(1)

ckyorn(1)

clear(1)

cmp(1)

col(1)

comb(1)

comm(1)

command(1)

compress(1)

continue(1)

cp(1)

cpio(1)

cpp(1)

cputrack(1)

crle(1)

crontab(1)

csh(1)

csplit(1)

ct(1C)

ctags(1)

ctrun(1)

ctstat(1)

ctwatch(1)

cu(1C)

cut(1)

date(1)

dc(1)

deallocate(1)

decrypt(1)

delta(1)

deroff(1)

df(1B)

dhcpinfo(1)

diff(1)

diff3(1)

diffmk(1)

digest(1)

digestp(1)

dircmp(1)

dirname(1)

dirs(1)

dis(1)

disown(1)

dispgid(1)

dispuid(1)

dos2unix(1)

dpost(1)

du(1)

du(1B)

dump(1)

dumpcs(1)

dumpkeys(1)

echo(1)

echo(1B)

ed(1)

edit(1)

egrep(1)

eject(1)

elfdump(1)

elfedit(1)

elffile(1)

elfsign(1)

elfwrap(1)

encrypt(1)

enhance(1)

env(1)

eqn(1)

errange(1)

errdate(1)

errgid(1)

errint(1)

erritem(1)

error(1)

errpath(1)

errstr(1)

errtime(1)

erruid(1)

erryorn(1)

eval(1)

ex(1)

exec(1)

exit(1)

expand(1)

export(1)

exportfs(1B)

expr(1)

expr(1B)

exstr(1)

factor(1)

false(1)

fastboot(1B)

fasthalt(1B)

fc(1)

fg(1)

fgrep(1)

file(1)

file(1B)

filebench(1)

filep(1)

filesync(1)

filofaxp(1)

find(1)

finger(1)

fmt(1)

fmtmsg(1)

fold(1)

for(1)

foreach(1)

franklinp(1)

from(1B)

ftp(1)

function(1)

gcore(1)

gencat(1)

geniconvtbl(1)

genmsg(1)

get(1)

getconf(1)

getfacl(1)

getlabel(1)

getopt(1)

getoptcvt(1)

getopts(1)

gettext(1)

gettxt(1)

getzonepath(1)

glob(1)

goto(1)

gprof(1)

grep(1)

groups(1)

groups(1B)

grpck(1B)

hash(1)

hashcheck(1)

hashmake(1)

hashstat(1)

head(1)

helpdate(1)

helpgid(1)

helpint(1)

helpitem(1)

helppath(1)

helprange(1)

helpstr(1)

helptime(1)

helpuid(1)

helpyorn(1)

hist(1)

history(1)

hostid(1)

hostname(1)

i386(1)

i486(1)

iconv(1)

idnconv(1)

if(1)

indxbib(1)

install(1B)

ipcrm(1)

ipcs(1)

isainfo(1)

isalist(1)

jobs(1)

join(1)

jsh(1)

kbd(1)

kdestroy(1)

keylogin(1)

keylogout(1)

kill(1)

kinit(1)

klist(1)

kmdb(1)

kmfcfg(1)

kpasswd(1)

krb5-config(1)

ksh(1)

ksh88(1)

ksh93(1)

ktutil(1)

lari(1)

last(1)

lastcomm(1)

ld(1)

ldapadd(1)

ldapdelete(1)

ldaplist(1)

ldapmodify(1)

ldapmodrdn(1)

ldapsearch(1)

ldd(1)

ld.so.1(1)

let(1)

lex(1)

lgrpinfo(1)

limit(1)

line(1)

list_devices(1)

listusers(1)

llc2_autoconfig(1)

llc2_config(1)

llc2_stats(1)

ln(1)

ln(1B)

loadkeys(1)

locale(1)

localedef(1)

logger(1)

logger(1B)

login(1)

logname(1)

logout(1)

look(1)

lookbib(1)

lorder(1)

ls(1)

ls(1B)

m4(1)

mac(1)

mach(1)

machid(1)

madv.so.1(1)

mail(1)

Mail(1B)

mail(1B)

mailcompat(1)

mailp(1)

mailq(1)

mailstats(1)

mailx(1)

make(1S)

makekey(1)

man(1)

mconnect(1)

mcs(1)

mdb(1)

mesg(1)

mkdir(1)

mkmsgs(1)

mkstr(1B)

mktemp(1)

moe(1)

more(1)

mp(1)

mpss.so.1(1)

msgcc(1)

msgcpp(1)

msgcvt(1)

msgfmt(1)

msggen(1)

msgget(1)

mt(1)

mv(1)

nawk(1)

nc(1)

ncab2clf(1)

ncakmod(1)

neqn(1)

netcat(1)

newform(1)

newgrp(1)

newsp(1)

newtask(1)

nice(1)

nl(1)

nm(1)

nohup(1)

notify(1)

nroff(1)

od(1)

on(1)

onintr(1)

optisa(1)

pack(1)

page(1)

pagesize(1)

pam_tty_tickets.so(1)

pargs(1)

passwd(1)

paste(1)

patch(1)

pathchk(1)

pax(1)

pcat(1)

pcred(1)

perl(1)

pfbash(1)

pfcsh(1)

pfexec(1)

pfiles(1)

pfksh(1)

pflags(1)

pfsh(1)

pftcsh(1)

pfzsh(1)

pg(1)

pgrep(1)

pkcs11_inspect(1)

pkginfo(1)

pkgmk(1)

pkgparam(1)

pkgproto(1)

pkgtrans(1)

pkill(1)

pklogin_finder(1)

pktool(1)

plabel(1)

pldd(1)

plgrp(1)

plimit(1)

pmadvise(1)

pmap(1)

popd(1)

ppgsz(1)

ppriv(1)

pr(1)

praliases(1)

prctl(1)

preap(1)

print(1)

printenv(1B)

printf(1)

priocntl(1)

proc(1)

prof(1)

profiles(1)

projects(1)

prs(1)

prt(1)

prun(1)

ps(1)

ps(1B)

psig(1)

pstack(1)

pstop(1)

ptime(1)

ptree(1)

pushd(1)

pvs(1)

pwait(1)

pwd(1)

pwdx(1)

ranlib(1)

rcapstat(1)

rcp(1)

read(1)

readonly(1)

red(1)

refer(1)

regcmp(1)

rehash(1)

remote_shell(1)

remsh(1)

renice(1)

repeat(1)

reset(1B)

return(1)

rksh(1)

rksh88(1)

rlogin(1)

rm(1)

rmail(1)

rmdel(1)

rmdir(1)

rmformat(1)

rmmount(1)

rmumount(1)

roffbib(1)

roles(1)

rpcgen(1)

rpm2cpio(1)

rsh(1)

runat(1)

rup(1)

rup(1C)

ruptime(1)

rusage(1B)

rusers(1)

rwho(1)

sact(1)

sar(1)

sccs(1)

sccs-admin(1)

sccs-cdc(1)

sccs-comb(1)

sccs-delta(1)

sccsdiff(1)

sccs-get(1)

sccs-help(1)

sccshelp(1)

sccs-prs(1)

sccs-prt(1)

sccs-rmdel(1)

sccs-sact(1)

sccs-sccsdiff(1)

sccs-unget(1)

sccs-val(1)

scp(1)

script(1)

sdiff(1)

sed(1)

sed(1B)

select(1)

set(1)

setenv(1)

setfacl(1)

setlabel(1)

setpgrp(1)

settime(1)

sftp(1)

sh(1)

shcomp(1)

shell_builtins(1)

shift(1)

shutdown(1B)

size(1)

sleep(1)

soelim(1)

sort(1)

sortbib(1)

sotruss(1)

source(1)

sparc(1)

spell(1)

spellin(1)

split(1)

srchtxt(1)

ssh(1)

ssh-add(1)

ssh-agent(1)

ssh-http-proxy-connect(1)

ssh-keygen(1)

ssh-keyscan(1)

ssh-socks5-proxy-connect(1)

stop(1)

strchg(1)

strconf(1)

strings(1)

strip(1)

stty(1)

stty(1B)

sum(1)

sum(1B)

sun(1)

suspend(1)

svcprop(1)

svcs(1)

switch(1)

symorder(1)

sys-suspend(1)

sysV-make(1)

t300(1)

t300s(1)

t4014(1)

t450(1)

tabs(1)

tail(1)

talk(1)

tar(1)

tbl(1)

tcopy(1)

tee(1)

tek(1)

telnet(1)

test(1)

test(1B)

tftp(1)

time(1)

timemanp(1)

times(1)

timesysp(1)

timex(1)

tip(1)

touch(1)

touch(1B)

tplot(1)

tput(1)

tr(1)

tr(1B)

trap(1)

troff(1)

true(1)

truss(1)

tset(1B)

tsort(1)

tty(1)

type(1)

typeset(1)

ul(1)

ulimit(1)

umask(1)

unalias(1)

uname(1)

uncompress(1)

unexpand(1)

unget(1)

unhash(1)

unifdef(1)

uniq(1)

units(1)

unix2dos(1)

unlimit(1)

unpack(1)

unset(1)

unsetenv(1)

until(1)

updatehome(1)

uptime(1)

userattr(1)

users(1B)

uucp(1C)

uudecode(1C)

uuencode(1C)

uuglist(1C)

uulog(1C)

uuname(1C)

uupick(1C)

uustat(1C)

uuto(1C)

uux(1C)

vacation(1)

val(1)

valdate(1)

valgid(1)

valint(1)

valpath(1)

valrange(1)

valstr(1)

valtime(1)

valuid(1)

valyorn(1)

vc(1)

vedit(1)

ver(1)

vgrind(1)

vi(1)

view(1)

vipw(1B)

volcheck(1)

volrmmount(1)

w(1)

wait(1)

wc(1)

what(1)

whatis(1)

whence(1)

whereis(1B)

which(1)

while(1)

who(1)

whoami(1B)

whocalls(1)

whois(1)

write(1)

xargs(1)

xgettext(1)

xstr(1)

yacc(1)

yes(1)

ypcat(1)

ypmatch(1)

yppasswd(1)

ypwhich(1)

zcat(1)

zlogin(1)

zonename(1)

zonestat(1)

kmfcfg

- 密钥管理策略和插件配置实用程序

用法概要

kmfcfg subcommand [option ...] 

描述

kmfcfg 命令允许用户配置密钥管理框架 (Key Management Framework, KMF) 策略数据库。KMF 策略数据库 (database, DB) 限制使用通过 KMF 框架管理的密钥和证书。

kmfcfg 提供在系统缺省数据库文件 /etc/security/kmfpolicy.xml 或用户自定义数据库文件中列出、创建、修改、删除、导入和导出策略定义的能力。

对于插件配置,kmfcfg 允许用户显示插件信息、安装或卸载 KMF 插件以及修改插件选项。

子命令

支持以下子命令:

create

将新策略添加到策略数据库文件中。

create 子命令的格式如下:

create [dbfile=dbfile] policy=policyname
    [ignore-date=true|false]
    [ignore-unknown-eku=true|false]
    [ignore-trust-anchor=true|false]
    [validity-adjusttime=adjusttime]
    [ta-name=trust anchor subject DN]
    [ta-name=trust anchor subject DN | search]
    [ta-serial=trust anchor serial number]
    [ocsp-responder=URL]
    [ocsp-proxy=URL]
    [ocsp-use-cert-responder=true|false]
    [ocsp-response-lifetime=timelimit]
    [ocsp-ignore-response-sign=true|false]
    [ocsp-responder-cert-name=Issuer DN]
    [ocsp-responder-cert-serial=serial number]
    [crl-basefilename=basefilename]
    [crl-directory=directory]
    [crl-get-crl-uri=true|false]
    [crl-proxy=URL]
    [crl-ignore-crl-sign=true|false]
    [crl-ignore-crl-date=true|false]
    [keyusage=digitalSignature|nonRepudiation
              |keyEncipherment | dataEncipherment |
              keyAgreement |keyCertSign |
              cRLSign | encipherOnly | decipherOnly],[...]
    [ekunames=serverAuth | clientAuth |
             codeSigning | emailProtection |
             ipsecEndSystem | ipsecTunnel |
             ipsecUser | timeStamping |
             OCSPSigning],[...]
    [ekuoids=OID,OID,OID...]
    [mapper-name=name of the mapper]
    [mapper-dir=dir where mapper library resides]
    [mapper-path=full pathname of mapper library]
    [mapper-options=mapper options]

create 子命令支持以下选项:

crl-basefilename=filename
crl-directory=directory

这两个属性用于指定 CRL 文件的位置。crl-basefilename 属性表示 CRL 文件的基文件名。crl-directory 属性表示 CRL 文件的目录,缺省为当前目录。

如果 crl-get-crl-uri 属性设置为 true 并且没有指定 crl-basefilename,则高速缓存的 CRL 文件的 basefilename 是用于提取 CRL 文件的 URI 的根基名称。

如果 crl-get-crl-uri 属性设置为 false,需要指定 crl-basefilename 来指示输入 CRL 文件。缺省情况下,crl-get-crl-uri 的设置为 false

这两个属性只适用于基于文件的 CRL 插件。当前基于文件的 CRL 插件为 filepkcs11 Keystore。对于 nss Keystore,CRL 位置始终为 NSS 内部数据库。

crl-get-crl-uri=true | false

配置是否将动态提取和高速缓存 CRL 文件作为证书验证的一部分,使用来自证书的分发点扩展的 URI 信息。

此属性的缺省值为 false

crl-ignore-crl-date=true | false

如果 crl-ignore-crl-date 设置为 true,不会检查 CRL 的有效时间段。

此属性的缺省值为 false

crl-ignore-crl-sign=true | false

如果 crl-ignore-crl-sign 设置为 true ,不会检查 CRL 的签名。

此属性的缺省值为 false

crl-proxy= URL

crl-get-crl-uri 设置为 true 时,设置代理服务器名称和端口以便动态检索 CRL 文件。

端口号为可选。如果未指定端口号,缺省值为 8080crl-proxy 设置的一个示例为:crl-proxy=webcache.sfbay:8080

dbfile=dbfile

添加新策略的 DB 文件。如果未指定,缺省值将是系统 KMF 策略数据库文件 /etc/security/kmfpolicy.xml

ekuoids=EKUOIDS

正在定义的策略所需的以逗号分隔的扩展密钥使用 OID 列表。OID 以点记法表示,例如 1.2.3.4ekuoids 设置的一个示例为:ekuoids=1.2.3.4,9.8.7.6.5

ekunames=EKUNAMES

正在定义的策略所需的以逗号分隔的扩展密钥使用名称列表。允许用于 EKUNAMES 的值列表为:serverAuthclientAuthcodeSigningemailProtectionipsecEndSystem ipsecTunnelipsecUsertimeStampingOCSPSigning

缺省情况下,OCSP、CRL、密钥使用和扩展密钥使用检查处于关闭状态。要启用其中任何一个,请为特定检查指定一个或多个属性。例如,如果设置了 ocsp-responder 属性,则会启用 OCSP 检查。如果设置了 ekuname 属性或 ekuoids 属性,则会启用扩展密钥使用检查。

ignore-date=true | false

为此策略设置 "Ignore Date"(忽略日期)选项。缺省情况下此值为 false。如果指定了 true,策略会在评估证书有效性时忽略证书中定义的有效期。

ignore-unknown-eku=true | false

为策略设置 "Ignore Unknown EKU"(忽略未知 EKU)选项。缺省情况下此值为 false。如果为 true,策略会忽略扩展密钥使用扩展中任何无法识别的 EKU 值。

ignore-trust-anchor=true | false

为此策略设置 "Ignore Trust Anchor"(忽略信任锚)选项。缺省情况下此值为 false。如果指定了 true,策略不会在验证时使用信任锚证书验证主题证书的签名。

keyusage=KUVALUES

正在定义的策略所需的以逗号分隔的扩展密钥使用列表。允许的值列表为:digitalSignaturenonRepudiationkeyEnciphermentdataEnciphermentkeyAgreementkeyCertSign cRLSignencipherOnlydecipherOnly

ocsp-ignore-response-sign=true | false

如果该属性设置为 true,则不会验证 OCSP 响应的签名。此属性值缺省为 false

ocsp-proxy=URL

为 OCSP 设置代理服务器名称和端口。端口号为可选。如果未指定端口号,则缺省值为 8080。ocsp-proxy 设置的一个示例为:ocsp-proxy="webcache.sfbay:8080"

ocsp-response-lifetime=timelimit

设置响应必须处于的有效时间段。timelimit 可由数字-day数字-hour数字-minute 数字-second 指定。 ocsp-response-lifetime 设置的一个示例为:ocsp-response-lifetime=6-hour

ocsp-responder-cert-name=IssuerDN
ocsp-responder-cert-serial= serialNumber

这两个属性表示 OCSP 响应者证书。ocsp-responder-cert-name 用于指定证书的签发者名称。有关示例,请参见 ta-name 选项。ocsp-responder-cert-serial 表示序列号,必须指定为十六进制值,例如 0x0102030405060708090a0b0c0d0e0f。如果 OCSP 响应者与证书的签发者不同,并且如果需要验证 OCSP 响应,应该提供 OCSP 响应者证书信息。

ocsp-responder=URL

设置 OCSP 响应者 URL 以便与 OCSP 验证方式一起使用。例如 ocsp-responder=http://ocsp.verisign.com/ocsp/status

ocsp-use-cert-responder=true | false

将此策略配置为始终使用证书自身中定义的响应者(如果可能)。

policy=policyname

要创建的策略记录。policyname 是必需的。

ta-name=trust anchor subject DN | search

ta-name 标识用于验证证书的信任锚。KMF 策略引擎不会执行完全 PKIX 路径验证,而只会将信任锚视为要验证的证书的父证书。

如果指定了显式“主题 DN”,它必须与 ta-serial 值结合,以便唯一地标识要使用的证书。此外,标识的证书必须可用于选择的 keystore 中。

如果使用了值 search 而不是显式主题和序列号,KMF 策略引擎会尝试查找与待验证证书的签发者名称匹配的证书并使用其进行验证。

如果使用 search,会忽略 ta-serial 值。

ta-serial=trust anchor serial number

如果将 ta-name 指定为显式主题名称,则此证书的序列号必须由 ta-serial 值指示。此序列号必须以十六进制格式表示,例如 ta-serial=0x01020a0b

validity-adjusttime=adjusttime

为证书有效期的两个端点设置调整时间。时间可由数字-day、数字-hour、数字-minute 或数字-second 指定。validity-adjusttime 设置的一个示例为:validity-adjusttime=6-hour。ta-name="Subject DN" ta-serial=serialNumber

这两个属性表示信任锚证书,用于查找 keystore 中的信任锚证书。ta-name 用于指定信任锚证书主题名称的标识名。例如,ta-name="O=Sun Microsystems Inc., \ OU=Solaris Security Technologies Group, \ L=Ashburn, ST=VA, C=US, CN=John Smith" TA 证书的序列号。它和“签发者 DN”一起用于查找 keystore 中的 TA 证书。必须将序列号指定为十六进制值,例如 0x0102030405060708090a0b0c0d0e 如果 ignore-trust-anchor 属性的值为 false,需要设置信任锚属性。

mapper-name=name
mapper-dir=directory
mapper-path=path
mapper-options=options

这四个选项支持证书到名称映射。mapper-name 提供映射器的名称。例如,cn 名称表示映射器对象 kmf_mapper_cn.so.1 mapper-dir 覆盖缺省映射器目录 /lib/crypto 。mapper-path 指定映射器对象的全路径。mapper-options 是最长为 255 字节的仅 ASII 字符串。它的格式是映射器特定的,但映射器会接受以逗号分隔的选项列表,例如 casesensitive,ignoredomainmapper-path mapper-name 相互排斥。只有设置了 mapper-name 才能设置 mapper-dir。只有设置了 mapper-namemapper-path 才能设置 mapper-options。尝试使用上述任何一个不正确设置都会导致错误,且无法修改策略数据库。

delete

删除与指定策略名称匹配的任何策略。无法删除系统缺省策略 (default)。

delete 子命令的格式如下:

delete [dbfile=dbfile] policy=policyname

delete 子命令支持以下选项:

dbfile=dbfile

从指定文件中读取策略定义。如果未指定 dbfile,缺省值将是系统 KMF 策略数据库文件:/etc/security/kmfpolicy.xml

policy=policyname

要删除的策略的名称。如果使用系统数据库,则需要 policyname

export

将策略从一个策略数据库文件导出到另一个策略数据库文件。

export 子命令的格式如下:

kmfcfg export policy=policyname outfile=newdbfile [dbfile=dbfile]

export 子命令支持以下选项:

dbfile=dbfile

从中读取导出策略的 DB 文件。如果未指定 dbfile,缺省值将是系统 KMF 策略数据库文件:/etc/security/kmfpolicy.xml

outfile=outputdbfile

在其中存储导出策略的 DB 文件。

policy=policyname

要导出的策略记录。

help

显示关于 kmfcfg 命令的帮助。

help 子命令的格式如下:

help
import

将策略从一个策略数据库文件导入到另一个策略数据库文件。

import 子命令的格式如下:

kmfcfg import policy=policyname infile=inputdbfile [dbfile=dbfile]

import 子命令支持以下选项:

policy=policyname

要导入的策略记录。

infile=inputdbfile

要从中读取策略的 DB 文件。

dbfile=outdbfile

添加新策略的 DB 文件。如果未指定,缺省值将是系统 KMF 策略数据库文件 /etc/security/kmfpolicy.xml

list

如果不指定参数,将列出缺省系统数据库中的所有策略定义。

list 子命令的格式如下:

list [dbfile=dbfile] [policy=policyname]

list 子命令支持以下选项:

dbfile=dbfile

从指定文件读取策略定义。如果未指定,缺省值将是系统 KMF 策略数据库文件 /etc/security/kmfpolicy.xml

policy=policyname

只显示已命名策略的策略定义。

modify

修改与指定名称匹配的任何策略。无法修改系统缺省策略 (default)。

modify 子命令的格式如下:

modify [dbfile=dbfile] policy=policyname
    [ignore-date=true|false]
    [ignore-unknown-eku=true|false]
    [ignore-trust-anchor=true|false]
    [validity-adjusttime=adjusttime]
    [ta-name=trust anchor subject DN]
    [ta-serial=trust anchor serial number]
    [ocsp-responder=URL]
    [ocsp-proxy=URL]
    [ocsp-use-cert-responder=true|false]
    [ocsp-response-lifetime=timelimit]
    [ocsp-ignore-response-sign=true|false]
    [ocsp-responder-cert-name=Issuer DN]
    [ocsp-responder-cert-serial=serial number]
    [ocsp-none=true|false]
    [crl-basefilename=basefilename]
    [crl-directory=directory]
    [crl-get-crl-uri=true|false]
    [crl-proxy=URL]
    [crl-ignore-crl-sign=true|false]
    [crl-ignore-crl-date=true|false]
    [crl-none=true|false]
    [keyusage=digitalSignature| nonRepudiation
              |keyEncipherment | dataEncipherment |
              keyAgreement |keyCertSign |
              cRLSign | encipherOnly | decipherOnly],[...]
    [keyusage-none=true|false]
    [ekunames=serverAuth | clientAuth |
             codeSigning | emailProtection |
             ipsecEndSystem | ipsecTunnel |
             ipsecUser | timeStamping |
             OCSPSigning],[...]
    [ekuoids=OID,OID,OID]
    [eku-none=true|false]
    [mapper-name=name of the mapper]
    [mapper-dir=dir where mapper library resides]
    [mapper-path=full pathname of mapper library]
    [mapper-options=mapper options]

modify 子命令支持与 create 子命令相同的许多选项。有关共享选项的说明,请参见 create 子命令。

modify 子命令支持以下唯一选项:

crl-none=true | false

如果 crl-none 设置为 true,将禁用 CRL 检查。如果此属性设置为 true,则无法设置其他 CRL 属性。

dfile=[dbfile ]

要修改策略的数据库文件。如果未指定,缺省值将是系统 KMF 策略数据库文件 /etc/security/kmfpolicy.xml

eku-none=true | false

如果 eku-none 设置为 true,将禁用扩展密钥使用检查。如果 eku-none 设置为 true,无法同时设置扩展密钥使用属性 ekunameekuoids

keyusage-none=true | false

如果 keyusage-none 设置为 true,将禁用密钥使用检查。

如果此属性设置为 true,无法同时设置 keyusage 属性。

ocsp-none=true | false

如果 ocsp-none 设置为 true,将禁用 OCSP 检查。如果此属性设置为 true,不会同时设置任何其他 OCSP 属性。

policy=policyname

要修改的策略的名称。policyname 是必需的。无法修改系统 KMF 策略数据库中的 default 策略。

mapper-name=name
mapper-dir=directory
mapper-path=path
mapper-options=options

有关更多信息,请参见 create 子命令。

插件子命令

install keystore=keystore_name modulepath=pathname\ [option=option_str]

将插件安装到系统中。modulepath 字段指定 KMF 插件共享库对象的路径名。如果未将 pathname 指定为绝对路径名,共享库对象会假定为与 /lib/security/$ISA/ 相对。ISA 标记会由实施定义的目录名称替换,该名称可定义相对于调用程序指令集体系结构的路径名。

list plugin

显示 KMF 插件信息。

不使用 plugin 关键字,kmfcfg list 会如“子命令”一节中所述显示策略信息。

modify plugin keystore=keystore_name option=option_str

修改 plugin 选项。plugin 选项是由插件定义的,并且由此插件专门解释,因此此命令接受任何选项字符串。

不使用 plugin 关键字,kmfcfg modify 会如“子命令”一节中所述更新策略配置。

uninstall keystore=keystore_name

卸载具有 keystore_name 的插件。

示例

示例 1 创建新策略

以下示例会在系统数据库中创建一个名为 IPSEC 的新策略:

$ kmfcfg create IPSEC \
ignore-trust-anchor=true \
ocsp-use-cert-responder=true \
keyusage=keyAgreement,keyEncipherment,dataEncipherment \
ekuname=ipsecTunnel,ipsecUser

退出状态

将返回以下退出值:

0

成功完成。

>0

出现错误。

文件

/etc/security/kmfpolicy.xml

缺省系统策略数据库

属性

有关下列属性的描述,请参见 attributes(5)

属性类型
属性值
可用性
system/core-os
接口稳定性
Uncommitted(未确定)

另请参见

attributes(5)