以下 pktool(1) 子命令明确支持 KMF:
删除密钥库中的对象。
从外部源下载 CRL 或证书文件。
将对象从密钥库导出到文件中。
创建自签名 X.509v3 证书。
创建 PKCS#10 证书签名请求 (Certificate Signing Request, CSR) 文件。
在密钥库中创建对称密钥。
显示帮助消息。
从外部源导入对象。
初始化 PKCS#11 令牌。
列出密钥库中对象的摘要。
更改用于访问密钥库的用户验证口令短语。
签名 PKCS#10 CSR。
列出所有可视 PKCS#11 令牌。