开发者和系统管理员在设计使用 PKI 技术的系统时可以在多个不同的密钥库系统之间进行选择。密钥库是适用于 PKI 对象的存储系统。Oracle Solaris 用户的主要选择是 NSS、OpenSSL 和 PKCS#11。这些密钥库系统中的每一个都提供不同的编程接口和管理工具。这些密钥库系统都不包含任何 PKI 策略实施系统。
KMF 提供通用接口,用于在所有这些密钥库中处理密钥和证书。
通用 API 层使开发者能够指定要使用的密钥库类型。KMF 还为这三个密钥库系统中的每一个提供插件模块,从而使您能够编写新的应用程序来使用这些密钥库中的任何一个。写入 KMF 的应用程序不绑定到一个密钥库系统。
管理实用程序使管理员能够在所有这三个密钥库中管理 PKI 对象。您无需针对每个密钥库使用不同的实用程序。
KMF 还提供 KMF 应用程序可以使用的系统范围的策略数据库,而不管正在使用哪种密钥库类型。管理员可以在全局数据库中创建策略定义。KMF 应用程序可以选择要声明的策略,然后,所有后续 KMF 操作将根据该策略的限制采取相应行为方式。策略定义包括有关如何执行验证的规则、密钥使用和扩展密钥使用的要求、信任锚定义、联机证书状态协议 (Online Certificate Status Protocol, lOCSP) 参数以及证书撤销列表 (Certificate Revocation List, CRL) DB 参数(如位置)。
Oracle Solaris KMF 包括以下功能:
用于开发识别 PKI 的应用程序的编程接口。这些接口独立于密钥库:接口不会将应用程序绑定到特定密钥库系统(如 NSS、OpenSSL 或 PKCS#11)。
用于管理 PKI 对象的管理实用程序。
适用于识别 PKI 的应用程序的 PKI 策略数据库和实施系统。该实施系统独立于密钥库,可以在系统范围内应用。
用于为传统系统和专用系统扩展 KMF 的插件接口。
KMF 使用者包括使用证书的任何项目,如基于 X.509 证书的验证服务和智能卡验证。