如何使用 pktool setpin 命令生成口令短语 - 在 Oracle® Solaris 11.2 中管理加密和证书

语言：

如何使用 `pktool setpin` 命令生成口令短语

可以为密钥库中的对象以及密钥库本身生成口令短语。访问该对象或密钥库时需要提供此口令短语。有关为密钥库中的对象生成口令短语的示例，请参见Example 4–4。

生成访问密钥库所用的口令短语。
```
% pktool setpin keystore=nss|pkcs11 [dir=directory]
```
密钥存储的缺省目录为 /var/username。

PKCS #11 密钥库的初始口令为 changeme。NSS 密钥库的初始口令是空口令。
回答提示。
当系统提示输入当前令牌口令短语时，对于 PKCS #11 密钥库请键入令牌 PIN，对于 NSS 密钥库请按回车键。
```
Enter current token passphrase:     Type PIN or press the Return key
Create new passphrase:              Type the passphrase that you want to use
Re-enter new passphrase:            Retype the passphrase
Passphrase changed.
```
密钥库现在受口令短语保护了。如果丢失了口令短语，您将无法访问该密钥库中的对象。

(u53ef选) 显示令牌列表。

# pktool tokens

输出取决于是否启用了 metaslot。有关 metaslot 的更多信息，请参阅加密框架中的概念。

如果启用了 metaslot，则 pktools token 命令将生成类似以下内容的输出：

ID Slot   Name                        Token Name                       Flags
--        ---------                   ----------                       -----
0         Sun Metaslot                Sun Metaslot
1         Sun Crypto Softtoken        Sun Software PKCS#11 softtoken   LIX
2         PKCS#11 Interface for TPM   TPM                              LXS

如果禁用了 metaslot，则 pktools token 命令将生成类似以下内容的输出：

ID Slot   Name                        Token Name                       Flags
--        ---------                   ----------                       -----
1         Sun Crypto Softtoken        Sun Software PKCS#11 softtoken   LIX
2         PKCS#11 Interface for TPM   TPM                              LXS

在两种输出版本中，标志可以是以下标志的任意组合：

L－需要登录
I－已初始化
X－用户 PIN 过期
S－SO PIN 过期

示例 4-5 使用口令短语保护密钥库

下面的示例说明了如何为 NSS 数据库设置口令短语。由于尚未创建口令短语，用户需要在第一个提示处按回车键。

% pktool setpin keystore=nss dir=/var/nss
Enter current token passphrase:Press the Return key
Create new passphrase: has8n0NdaH
Re-enter new passphrase: has8n0NdaH
Passphrase changed.