如何使 PKCS #11 使用者能够将 TPM 用作安全密钥库

开始之前

要执行此过程，您必须在系统上安装并启用 TPM。确保 tcsd 守护进程也正在运行。

1. 确认已安装 TPM 设备。

   # ls -alF /dev/tpm
   lrwxrwxrwx 1 root 39 Dec 27 2011 /dev/tpm -> ../devices/pci@0,0/isa@1/tpm@1,1670:tpm

2. 启用 tcsd 守护进程。

   # svcadm enable tcsd

3. 初始化个人 TPM 保护的令牌存储区域。

   $ pktool inittoken currlabel=TPM

   ---

   注 -  每个用户都必须执行此步骤。

   ---

4. 设置安全官的令牌 PIN。

   $ pktool setpin token=tmp/TPM so

5. 设置用户的 PIN。

   $ pktool setpin token=tmp/TPM

6. 通过指定在初始化令牌时使用的令牌名称，生成使用 TPM 设备的密钥和证书。

   $ pktool gencert token=tpm/TPM -i
   $ pktool list token=tpm/TPM

   通过使应用程序选择会话的 TPM 令牌设备，任何已在使用 libpkcs11 中的加密框架的现有应用程序都可以为其操作使用 TPM 令牌。

示例 2-1  使 PKCS #11 使用者可以使用 TPM

在此示例中，首先为 TPM 令牌指定一个新的名称。之后，所有针对该令牌的后续操作都将引用该新名称。

$ pktool inittoken currlable=TPM newlabel=JohnDoeTPM
$ pktool setpin token=tmp/JohnDoeTPM so
$ pktool gencert token=tpm/JohnDoeTPM -i
$ pktool list token=tpm/JohnDoeTPM