要管理证书和密钥,请创建密钥库。密钥库中存储 CA、CA 密钥以及客户机证书和密钥。
用于密钥库管理的工具为 pktool。有关更多信息,请参见 pktool(1) 手册页。
pktool 的缺省密钥库位置为 /var/user/username,其中 username 是当前系统用户的名称。如果密钥库由多个用户管理,则此密钥库缺省位置可能会存在问题。此外,IPS 软件包系统信息库管理应具有专用密钥库以避免造成证书混乱。要为 IPS 软件包系统信息库的 pktool 密钥库设置定制位置,请设置环境变量 SOFTTOKEN_DIR。根据需要重置 SOFTTOKEN_DIR 变量以管理多个密钥库。
使用以下命令为密钥库创建目录。如果多个用户需要管理密钥库,请相应地设置所有者、组和权限。
$ mkdir /path-to-keystore $ export SOFTTOKEN_DIR=/path-to-keystore
对密钥库的访问受口令短语的保护,每次调用 pktool 命令时都必须输入该口令短语。新创建的密钥库的缺省口令短语为 changeme。务必将 changeme 口令短语更改为更安全的口令短语。
使用以下命令设置密钥库的口令短语 (PIN):
$ pktool setpin Enter token passphrase: changeme Create new passphrase: Re-enter new passphrase: Passphrase changed. $ ls /path-to-keystore pkcs11_softtoken