KMF 策略是一个策略分层树。安装系统时定义了一个缺省策略。除非应用程序声明其他策略,否则将应用缺省策略。
策略参数控制应用程序对 X.509 证书的使用。KMF 策略应用于所有证书,并不仅限于任何特定密钥库。
使用 kmfcfg(1) 实用程序可管理 KMF 策略数据库并配置插件。可以使用 kmfcfg 列出、创建、修改、删除、导入和导出系统缺省数据库文件 /etc/security/kmfpolicy.xml 或用户定义的数据库文件中的策略定义。请注意,您不能修改系统 KMF 策略数据库中的缺省策略。对于插件配置,您可以使用 kmfcfg 来显示插件信息,安装或卸载 KMF 插件,以及修改插件选项。
下面列出了某些 KMF 策略属性。有关这些策略属性的完整列表和说明,请参见 kmfcfg(1) 手册页。
策略名称。应用程序引用该名称。
默认密钥库。示例包括 NSS、文件、PKCS11。
忽略日期。评估有效性时忽略证书中定义的有效期。
忽略未知 EKU。在“扩展密钥使用”扩展中忽略任何无法识别的 EKU 值。
令牌标签。该属性仅适用于 NSS 或 PKCS11 密钥库。
验证方法。示例包括 OCSP 和 CRL。
密钥使用值。该属性是所定义的策略所需的密钥使用值的逗号分隔列表。必须设置这些位才能使用证书。
扩展密钥使用值。该属性是所定义的策略所需的扩展密钥使用 OID 的逗号分隔列表。必须提供这些 OID 才能使用证书。
有关策略数据类型的定义,请参见 kmfpolicy.h 文件。
Oracle Solaris KMF 中提供以下插件库:
PKCS#11 密钥库插件:kmf_pkcs11
OpenSSL 密钥库插件:kmf_openssl
NSS 密钥库插件:kmf_nss