kmscfg
kmscfg -p[rofile] Profile_Name
kmscfg -a[gent] Agent_ID
kmscfg -i[paddr] Agent_Address
kmscfg -t[imeout] Transaction_Timeout
kmscfg -f[ailover] Failover_Limit
kmscfg -d[iscovery] Discovery_Freq
kmscfg 命令用于初始化 PKCS#11 KMS 提供者 (pkcs11_kms),以便与 Solaris 加密框架一起使用。要使 KMS 提供者与 Oracle Key Manager (OKM) 进行通信,必须提供一些配置信息。该配置数据包含要使用的配置文件的名称、OKM 代理的名称、OKM 设备 (KMA) 的 IP 地址及其他一些参数(请参见“用法概要”部分)。
缺省情况下,kmscfg 将配置信息存储在 /var/user/$USERNAME/kms 中。如果该目录不存在,则将创建该目录。如果已检测到该配置,则将为用户提供覆盖现有数据的选项。可使用 KMSTOKEN_DIR 环境变量覆盖缺省位置,必须在调用 kmscfg 之前设置该变量。
在运行 kmscfg 之前,OKM 管理员必须已对设备本身执行了所需的初始化和配置步骤才能设置 PKCS11 KMS 使用者将使用的各个配置文件和代理。有关配置这些配置文件的说明可以在 Oracle Web 站点 (http://docs.oracle.com) 上的《Oracle Key Manager Administration Guide》中找到。
一旦配置了 KMA,管理员必须提供必需的标识信息(配置文件名称、代理 ID、IP 地址)才能在 Oracle Solaris 客户机上运行 kmscfg 和初始化提供者。
支持下面列出的选项。请注意,如果未在命令行上指定配置文件、代理 ID 或 KMA 地址,kmscfg 会提示您提供这些项。
在 OKM 上配置的用户代理 ID,用于正在配置的 KMS 令牌。配置文件和代理 ID 通常是相同的,例如,MyAgent。
客户机将尝试搜索 OKM 群集中其他 KMA 的可用性的频率(秒)。如果未指定,则 Discovery_Freq 缺省为 600 秒(10 分钟)。
在客户机放弃之前,与 KMA 的通信可以失败的次数。如果未指定,则 Failover_Limit 缺省为 3。
KMA 的地址。此地址可以是 IPv4 地址 (xxx.xxx.xxx.xxx) 或 IPv6 地址。只要客户机上配置的名称服务可以解析全限定主机名,则还可以使用全限定主机名。如果使用的是 OKM 群集,则可以指定群集中任何成员的地址。
要用于正在配置的 KMS 令牌的配置文件的名称。通常,配置文件名称和代理 ID 是相同的(尽管并不要求它们相同)。
各个 KMS 命令的超时周期(以秒为单位)。如果未指定,则该值缺省为 10。
在完成所请求的操作之后,kmscfg 以下列状态值之一退出。
成功终止。
失败。无法完成所请求的操作。
缺省的 KMS 令牌配置目录。
备用的 KMS 令牌配置目录。
有关下列属性的说明,请参见 attributes(5):
|
pktool(1)、attributes(5)、pkcs11_kms(5)
《Oracle Key Manager Administration Guide》(http://docs.oracle.com)
PKCS#11 客户机要求在 OKM 上安装 2.4 版 Oracle Key Manager 软件。
如果 PKCS#11 客户机要对多个系统使用同一个代理 ID,则创建该代理时时不应设置 "One Time Passphrase"(一次性口令短语)标志。在某些成员运行的 OKM 软件版本低于 2.4 的 OKM 群集中,将无法使用此选项。有关创建代理的帮助信息,请参考《Oracle Key Manager Administration Guide》。
OKM 代理在用于在 PKCS#11 客户机中创建密钥之前,必须分配有缺省密钥组。如果没有为该代理分配缺省密钥组,操作将失败并显示 CKR_PIN_INCORRECT 错误。有关为代理分配密钥组的帮助信息,请参考《Oracle Key Manager Administration Guide》。