KMF ポリシーはポリシーの階層ツリーです。デフォルトポリシーは、システムがインストールされるときに定義されます。アプリケーションが別のポリシーを表明しない限り、デフォルトポリシーが適用されます。
アプリケーションによる X.509 証明書の使用はポリシーパラメータによって制御されます。KMF ポリシーはすべての証明書に適用され、特定のキーストアに制限されません。
KMF ポリシーデータベースの管理とプラグインの構成は kmfcfg(1) ユーティリティーを使用します。kmfcfg を使用して、システムのデフォルトデータベースファイル /etc/security/kmfpolicy.xml 内で、あるいはユーザー定義のデータベースファイル内で、ポリシー定義を表示、作成、変更、削除、インポート、およびエクスポートできます。システム KMF ポリシーデータベース内のデフォルトポリシーは変更できません。プラグインの構成については、kmfcfg を使用して、プラグイン情報の表示、KMF プラグインのインストールまたはアンインストール、およびプラグインオプションの変更を行うことができます。
次に、KMF ポリシー属性の一部を示します。これらのポリシー属性の完全な一覧と説明については、kmfcfg(1) のマニュアルページを参照してください。
ポリシー名。アプリケーションはこの名前を参照します。
デフォルトキーストア。NSS、ファイル、PKCS11 などです。
日付を無視。証明書の有効性を評価するときに証明書に定義されている有効期間を無視します。
不明な EKU を無視。拡張された鍵使用の拡張において認識されない任意の EKU 値を無視します。
トークンラベル。この属性は NSS または PKCS11 キーストアにのみ適用されます。
検証方式。たとえば OCSP や CRL です。
鍵使用値。この属性は、定義されるポリシーによって必要となる鍵使用値のコンマ区切りリストです。これらのビットは証明書を使用するために設定する必要があります。
拡張された鍵使用値。この属性は、定義されるポリシーによって必要となる拡張された鍵使用 OID のコンマ区切りリストです。証明書を使用するにはこれらの OIDS が存在する必要があります。
ポリシーのデータ型の定義については、kmfpolicy.h ファイルを参照してください。
Oracle Solaris KMF では次のプラグインライブラリが提供されています。
PKCS#11 キーストアプラグイン: kmf_pkcs11
OpenSSL キーストアプラグイン: kmf_openssl
NSS キーストアプラグイン: kmf_nss