セキュアなキーストアとして TPM を使用するために PKCS #11 コンシューマを有効にする方法

始める前に

この手順を実行するには、システムに TPM をインストールし、有効にする必要があります。tcsd デーモンも動作していることを確認します。

root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

1. (オプション) TPM PKCS #11 トークンプロバイダがインストールされていない場合、そのプロバイダをインストールします。

   ---

   注 -  この手順が必要かどうかを確認するには、cryptoadm list コマンドの実行時に pkcs11_tpm.so プロバイダが含まれていることを確認します。

   ---

   # pkg install pkcs11_tpm
   # cryptoadm install provider='/usr/lib/security/$ISA/pkcs11_tpm.so'

2. TPM デバイスがインストールされていることを確認します。

   # ls -alF /dev/tpm
   lrwxrwxrwx 1 root 39 Dec 27 2011 /dev/tpm -> ../devices/pci@0,0/isa@1/tpm@1,1670:tpm

3. tcsd デーモンを有効にします。

   # svcadm enable tcsd

4. (オプション) TPM 所有者がインストールされていない場合、TPM を初期化します。

   ---

   注 -  この手順が必要かどうかを確認するには、tpmadm status コマンドを実行します。

   ---

   # tpmadm init

5. 個人用の TPM で保護されたトークンの格納領域を初期化します。

   $ pktool inittoken currlabel=TPM

   ---

   注 -  この手順は、個々のユーザーが実行する必要があります。

   ---

6. セキュリティー責任者のトークン PIN を設定します。

   $ pktool setpin token=tpm/TPM usertype=so

7. ユーザーの PIN を設定します。

   $ pktool setpin token=tpm/TPM

8. トークンを初期化するときに使用したトークン名を指定することで、TPM デバイスを使用する鍵と証明書を生成します。

   $ pktool gencert token=tpm/TPM -i
   $ pktool list token=tpm/TPM

   既存のアプリケーションで libpkcs11 の暗号化フレームワークがすでに使用されている場合は、アプリケーションでセッション用の TPM トークンデバイスを選択することで、それらの操作で TPM トークンを使用できます。

使用例 1  TPM を使用するための PKCS #11 コンシューマの有効化

この例では、最初に TPM トークンに新しい名前が割り当てられます。トークン上のすべての後続アクションで、この新しい名前が参照されます。

$ pktool inittoken currlabel=TPM newlabel=JanDoeTPM
$ pktool setpin token=tpm/JanDoeTPM so
$ pktool gencert token=tpm/JanDoeTPM -i
$ pktool list token=tpm/JanDoeTPM