Go to main content
Oracle® Solaris 11.3 での暗号化と証明書の管理

印刷ビューの終了

更新: 2017 年 3 月
 
 

Oracle Solaris での KMIP の使用

暗号化フレームワークの新しい pkcs11_kmip プロバイダにより、PKCS #11 アプリケーションは KMIP クライアントとして機能して、KMIP 準拠のサーバーと通信できるようになります。pkcs11_kmip プロバイダの状態を初期化および管理するには、kmipcfg コマンドを使用します。

pkcs11_kmip プロバイダは、PKCS #11 アプリケーションを KMIP 準拠のサーバーに接続します。Oracle Solaris では、各 KMIP サーバーグループ は、PKCS #11 スロットに差し込まれた PKCS #11 トークンとして実装されます。KMIP サーバーグループを構成するには、kmipcfg コマンドを使用します。PKCS #11 の観点からこれらのトークンの状態を確認するには、pktool コマンドを使用できます。

Oracle Solaris でクライアントの KMIP 通信を設定するには、管理者が次のステップを実行します。

  1. pkcs11_kmip パッケージをインストールします。

  2. pkcs11_kmip ソフトウェアプロバイダを暗号化フレームワークにインストールします。

  3. kmipcfg コマンドで KMIP サーバーグループを作成および構成します。

pkcs11_kmip (5) のマニュアルページと 使用例 32で、これらのステップの例を参照してください。

pkcs11_kmip でサポートされる内容

pkcs11_kmip プロバイダは、C_loginC_OpenSessionC_CreateObject などのインタフェースを含む、KMIP 通信中に役立つ PKCS #11 インタフェースの特定のセットをサポートしています。サポートされているインタフェースの完全なリストを確認するには、 pkcs11_kmip (5) のマニュアルページを参照してください。

この Oracle Solaris リリースでは、pkcs11_kmip プロバイダは、AES アルゴリズムと暗号化および復号化操作で対称鍵のみをサポートしています。サポートされているメカニズムは次のとおりです。

  • CKM_AES_KEY_GEN

  • CKM_AES_CBC_PAD

  • CKM_AES_CBC

詳細は、 pkcs11_kmip (5) のマニュアルページを参照してください。

KMIP サーバーグループの作成と構成

次の例は、kmipcfg コマンドの使い方の 1 つを示しています。ほかの例については、 kmipcfg (1M) のマニュアルページを参照してください。

使用例 32  kmipcfg を使用して pkcs11_kmip プロバイダを管理する

この kmipcfg create コマンドは、KMIP 準拠のサーバーを 3 つ含むサーバーグループ cluster1 を作成します。3 つのサーバーのホスト名は次のとおりです。

  • server1.example.com

  • server2.example.com

  • server3.example.com

# kmipcfg create \
  -o server_list=server1.example.com,server2.example.com,server3.example.com \
  -o client_p12=cluster1_cred.p12 \
  -o failover_limit=3 cluster1

次の事項に注意してください。

  • –o オプションは、サーバーグループ構成の 1 つのプロパティーを指定します。使用可能な構成プロパティーの完全なリストについては、 kmipcfg (1M) のマニュアルページを参照してください。

  • この例では、サーバーのポート番号が指定されていないため、デフォルトのポート 5696 が使用されます。

  • この例では、通信を認証およびセキュリティー保護する資格情報は cluster1_cred.p12 PKCS #12 バンドルで提供されます。証明書管理の詳細については、pktool(1) のマニュアルページを参照してください。

  • この例では、グループ内の 1 つのサーバーに障害が発生すると、server_list プロパティーで定義されている次のサーバーに接続がフェイルオーバーします。failover_limit プロパティーは、最大 3 回のフェイルオーバーが可能であることを指定しています。

  • この例は非対話形式です。対話形式の例については、 kmipcfg (1M) のマニュアルページを参照してください。

少なくとも 1 つのサーバーグループを作成したあと、kmipcfg list コマンドを使用して、サーバーグループに構成されているパラメータを表示します。

# kmipcfg list
Server group: cluster1
State: enabled
Hosts:  server1.example.com:5696
        server2.example.com:5696
        server3.example.com:5696
Connection timeout: 5
Cache object time to live: 300
Encoding: TTLV
Failover limit: 3
Client keystore: /var/user/testuser/kmip/cluster1
Client PKCS#12 bundle: cluster1_cred.p12
Secondary authentication type: none
Copyright © 2002, 2017, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ