手册页部分 1M: 系统管理命令

退出打印视图

更新时间: 2014 年 7 月
 
 

kmscfg(1M)

名称

kmscfg - 配置 PKCS#11 KMS 提供者

用法概要

kmscfg
kmscfg -p[rofile] Profile_Name
kmscfg -a[gent] Agent_ID
kmscfg -i[paddr] Agent_Address
kmscfg -t[imeout] Transaction_Timeout
kmscfg -f[ailover] Failover_Limit
kmscfg -d[iscovery] Discovery_Freq

描述

kmscfg 命令用于初始化 PKCS#11 KMS 提供者 (pkcs11_kms),以便与 Solaris 加密框架一起使用。要使 KMS 提供者与 Oracle Key Manager (OKM) 进行通信,必须提供一些配置信息。该配置数据包含要使用的配置文件的名称、OKM 代理的名称、OKM 设备 (KMA) 的 IP 地址及其他一些参数(请参见“用法概要”部分)。

缺省情况下,kmscfg 将配置信息存储在 /var/user/$USERNAME/kms 中。如果该目录不存在,则将创建该目录。如果已检测到该配置,则将为用户提供覆盖现有数据的选项。可使用 KMSTOKEN_DIR 环境变量覆盖缺省位置,必须在调用 kmscfg 之前设置该变量。

在运行 kmscfg 之前,OKM 管理员必须已对设备本身执行了所需的初始化和配置步骤才能设置 PKCS11 KMS 使用者将使用的各个配置文件和代理。有关配置这些配置文件的说明可以在 Oracle Web 站点 (http://docs.oracle.com) 上的《Oracle Key Manager Administration Guide》中找到。

一旦配置了 KMA,管理员必须提供必需的标识信息(配置文件名称、代理 ID、IP 地址)才能在 Oracle Solaris 客户机上运行 kmscfg 和初始化提供者。

选项

支持下面列出的选项。请注意,如果未在命令行上指定配置文件、代理 ID 或 KMA 地址,kmscfg 会提示您提供这些项。

–a Agent_ID

在 OKM 上配置的用户代理 ID,用于正在配置的 KMS 令牌。配置文件和代理 ID 通常是相同的,例如,MyAgent

–d Discovery_Freq

客户机将尝试搜索 OKM 群集中其他 KMA 的可用性的频率(秒)。如果未指定,则 Discovery_Freq 缺省为 600 秒(10 分钟)。

–f Failover_Limit

在客户机放弃之前,与 KMA 的通信可以失败的次数。如果未指定,则 Failover_Limit 缺省为 3。

–i Agent_Addr

KMA 的地址。此地址可以是 IPv4 地址 (xxx.xxx.xxx.xxx) 或 IPv6 地址。只要客户机上配置的名称服务可以解析全限定主机名,则还可以使用全限定主机名。如果使用的是 OKM 群集,则可以指定群集中任何成员的地址。

–p Profile_Name

要用于正在配置的 KMS 令牌的配置文件的名称。通常,配置文件名称和代理 ID 是相同的(尽管并不要求它们相同)。

–t Transaction_Timeout

各个 KMS 命令的超时周期(以秒为单位)。如果未指定,则该值缺省为 10。

退出状态

在完成所请求的操作之后,kmscfg 以下列状态值之一退出。

0

成功终止。

1

失败。无法完成所请求的操作。

文件

/var/user/$USERNAME/kms

缺省的 KMS 令牌配置目录。

${KMSTOKEN_DIR}

备用的 KMS 令牌配置目录。

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
/system/library/security/crypto/pkcs11_kms
接口稳定性
Volatile(可变)

另请参见

pktool(1)attributes(5)pkcs11_kms(5)

Oracle Key Manager Administration Guide》(http://docs.oracle.com)

附注

PKCS#11 客户机要求在 OKM 上安装 2.4 版 Oracle Key Manager 软件。

如果 PKCS#11 客户机要对多个系统使用同一个代理 ID,则创建该代理时时不应设置 "One Time Passphrase"(一次性口令短语)标志。在某些成员运行的 OKM 软件版本低于 2.4 的 OKM 群集中,将无法使用此选项。有关创建代理的帮助信息,请参考《Oracle Key Manager Administration Guide》。

OKM 代理在用于在 PKCS#11 客户机中创建密钥之前,必须分配有缺省密钥组。如果没有为该代理分配缺省密钥组,操作将失败并显示 CKR_PIN_INCORRECT 错误。有关为代理分配密钥组的帮助信息,请参考《Oracle Key Manager Administration Guide》。