用法概要

kmscfg 命令用于初始化 PKCS#11 KMS 提供者 (pkcs11_kms)，以便与 Solaris 加密框架一起使用。要使 KMS 提供者与 Oracle Key Manager (OKM) 进行通信，必须提供一些配置信息。该配置数据包含要使用的配置文件的名称、OKM 代理的名称、OKM 设备 (KMA) 的 IP 地址及其他一些参数（请参见SYNOPSIS部分）。

缺省情况下，kmscfg 将配置信息存储在 /var/user/kms/$USERNAME 中。如果该目录不存在，则将创建该目录。如果已检测到该配置，则将为用户提供覆盖现有数据的选项。可使用 KMSTOKEN_DIR 环境变量覆盖缺省位置，必须在调用 kmscfg 之前设置该变量。

在运行 kmscfg 之前，OKM 管理员必须已对设备本身执行了所需的初始化和配置步骤才能设置 PKCS11 KMS 使用者将使用的各个配置文件和代理。有关配置这些配置文件的说明可以在 Oracle Web 站点 (http://docs.oracle.com) 上的《Oracle Key Manager Administration Guide》中找到。

一旦配置了 KMA，管理员必须提供必需的标识信息（配置文件名称、代理 ID、IP 地址）才能在 Oracle Solaris 客户机上运行 kmscfg 和初始化提供者。

选项

支持下面列出的选项。请注意，如果未在命令行上指定配置文件、代理 ID 或 KMA 地址，kmscfg 会提示您提供这些项。

-a Agent_ID: 在 OKM 上配置的用户代理 ID，用于正在配置的 KMS 令牌。配置文件和代理 ID 通常是相同的，例如，MyAgent。
-d Discovery_Freq: 客户机将尝试搜索 OKM 群集中其他 KMA 的可用性的频率（秒）。如果未指定，则 Discovery_Freq 缺省为 10。
-f Failover_Limit: 在客户机放弃之前，与 KMA 的通信可以失败的次数。如果未指定，则 Failover_Limit 缺省为 3。
-i Agent_Addr: KMA 的地址。此地址可以是 IPv4 地址 (xxx.xxx.xxx.xxx) 或 IPv6 地址。只要客户机上配置的名称服务可以解析全限定主机名，则还可以使用全限定主机名。如果使用的是 OKM 群集，则可以指定群集中任何成员的地址。
-p Profile_Name: 要用于正在配置的 KMS 令牌的配置文件的名称。通常，配置文件名称和代理 ID 是相同的（尽管并不要求它们相同）。
-t Transaction_Timeout: 各个 KMS 命令的超时周期（以秒为单位）。如果未指定，则该值缺省为 10。

退出状态

在完成所请求的操作之后，kmscfg 以下列状态值之一退出。

0: 成功终止。
1: 失败。无法完成所请求的操作。

文件

/var/kms/$USERNAME: 缺省的 KMS 令牌配置目录。
${KMSTOKEN_DIR}: 备用的 KMS 令牌配置目录。

属性

有关以下属性的说明，请参见 attributes(5)：

属性类型	属性值
可用性	/system/library/security/crypto/pkcs11_kms
接口稳定性	Volatile（可变）

另请参见

pktool(1)、attributes(5)、pkcs11_kms(5)

《Oracle Key Manager Administration Guide》(http://docs.oracle.com)

附注

PKCS#11 客户机要求在 OKM 上安装 2.4 版 Oracle Key Manager 软件。

如果 PKCS#11 客户机要对多个系统使用同一个代理 ID，则创建该代理时时不应设置 "One Time Passphrase"（一次性口令短语）标志。在一些成员运行的 OKM 软件版本低于 2.4 的 OKM 群集中，该选项将不可用。有关创建代理的帮助信息，请参考《Oracle Key Manager Administration Guide》。

OKM 代理在用于在 PKCS#11 客户机中创建密钥之前，必须分配有缺省密钥组。如果没有为该代理分配缺省密钥组，操作将失败并显示 CKR_PIN_INCORRECT 错误。有关为代理分配密钥组的帮助信息，请参考《Oracle Key Manager Administration Guide》。

跳过导航链接
退出打印视图
	手册页第 1M 部分：系统管理命令 Oracle Solaris 11 Information Library (简体中文)