管理加密框架

语言：

本节介绍如何管理加密框架中的软件提供者和硬件提供者。如果需要，可以禁用软件提供者和硬件提供者。例如，可以禁用某个软件提供者的算法实现。然后，可以强制系统使用其他软件提供者的算法。

注 - 管理密钥框架的一个重要组成部分是规划和实现有关 FIPS 140 的策略、加密模块的美国政府计算机安全标准。

如果有严格的要求，只能使用 FIPS 140-2 验证的加密，则必须运行 Oracle Solaris11.1 SRU5.5 发行版或 Oracle Solaris11.1 SRU3 发行版。Oracle 已在这两个特定发行版中针对 Solaris 加密框架完成了 FIPS 140-2 验证。Oracle Solaris11.2 基于此验证的基础而构建并在性能、功能和可靠性方面进行了软件改进。应当尽可能在 FIPS 140-2 模式下配置 Oracle Solaris11.2 以利用这些改进。

查看Using a FIPS 140 Enabled System in Oracle Solaris 11.2 并规划系统的总体 FIPS 策略。

以下任务列表列出了管理加密框架中的软件和硬件提供者的过程。

表 3-2 管理加密框架（任务列表）

任务	说明	参考
为系统规划 FIPS 策略。	确定用于启用 FIPS 认可的提供者和使用者的规划并实现规划。	Using a FIPS 140 Enabled System in Oracle Solaris 11.2
列出加密框架中的提供者。	列出可在加密框架中使用的算法、库和硬件设备。	列出可用的提供程者
启用 FIPS 140 模式。	根据针对加密模块的美国政府标准运行加密框架。	如何创建启用了 FIPS 140 的引导环境
添加软件提供者。	将 PKCS #11 库或内核模块添加到加密框架中。必须对提供者进行签名。	如何添加软件提供者
禁止使用用户级机制。	禁用软件机制。可以再次启用该机制。	如何禁止使用用户级机制
临时禁用内核模块的机制。	临时禁用某个机制。通常用于测试。	如何禁止使用内核软件机制
卸载库。	禁用用户级软件提供者。	Example 3–17
卸载内核提供者。	禁用内核软件提供者。	Example 3–19
禁用硬件提供者的机制。	确保未使用硬件加速器的所选机制。	如何禁用硬件提供者机制和功能
重新启动或刷新加密服务。	确保加密服务可用。	如何刷新或重新启动所有加密服务