暗号化フレームワークの新しい pkcs11_kmip プロバイダにより、PKCS #11 アプリケーションは KMIP クライアントとして機能して、KMIP 準拠のサーバーと通信できるようになります。pkcs11_kmip プロバイダの状態を初期化および管理するには、kmipcfg コマンドを使用します。
pkcs11_kmip プロバイダは、PKCS #11 アプリケーションを KMIP 準拠のサーバーに接続します。Oracle Solaris では、各 KMIP サーバーグループ は、PKCS #11 スロットに差し込まれた PKCS #11 トークンとして実装されます。KMIP サーバーグループを構成するには、kmipcfg コマンドを使用します。PKCS #11 の観点からこれらのトークンの状態を確認するには、pktool コマンドを使用できます。
Oracle Solaris でクライアントの KMIP 通信を設定するには、管理者が次のステップを実行します。
pkcs11_kmip ソフトウェアプロバイダを暗号化フレームワークにインストールします。
kmipcfg コマンドで KMIP サーバーグループを作成および構成します。
pkcs11_kmip (5) のマニュアルページと 使用例 32で、これらのステップの例を参照してください。
pkcs11_kmip プロバイダは、C_login、C_OpenSession、C_CreateObject などのインタフェースを含む、KMIP 通信中に役立つ PKCS #11 インタフェースの特定のセットをサポートしています。サポートされているインタフェースの完全なリストを確認するには、 pkcs11_kmip (5) のマニュアルページを参照してください。
この Oracle Solaris リリースでは、pkcs11_kmip プロバイダは、AES アルゴリズムと暗号化および復号化操作で対称鍵のみをサポートしています。サポートされているメカニズムは次のとおりです。
CKM_AES_KEY_GEN
CKM_AES_CBC_PAD
CKM_AES_CBC
詳細は、 pkcs11_kmip (5) のマニュアルページを参照してください。
次の例は、kmipcfg コマンドの使い方の 1 つを示しています。ほかの例については、 kmipcfg (1M) のマニュアルページを参照してください。
使用例 32 kmipcfg を使用して pkcs11_kmip プロバイダを管理するこの kmipcfg create コマンドは、KMIP 準拠のサーバーを 3 つ含むサーバーグループ cluster1 を作成します。3 つのサーバーのホスト名は次のとおりです。
server1.example.com
server2.example.com
server3.example.com
# kmipcfg create \ -o server_list=server1.example.com,server2.example.com,server3.example.com \ -o client_p12=cluster1_cred.p12 \ -o failover_limit=3 cluster1
次の事項に注意してください。
各 –o オプションは、サーバーグループ構成の 1 つのプロパティーを指定します。使用可能な構成プロパティーの完全なリストについては、 kmipcfg (1M) のマニュアルページを参照してください。
この例では、サーバーのポート番号が指定されていないため、デフォルトのポート 5696 が使用されます。
この例では、通信を認証およびセキュリティー保護する資格情報は cluster1_cred.p12 PKCS #12 バンドルで提供されます。証明書管理の詳細については、pktool(1) のマニュアルページを参照してください。
この例では、グループ内の 1 つのサーバーに障害が発生すると、server_list プロパティーで定義されている次のサーバーに接続がフェイルオーバーします。failover_limit プロパティーは、最大 3 回のフェイルオーバーが可能であることを指定しています。
この例は非対話形式です。対話形式の例については、 kmipcfg (1M) のマニュアルページを参照してください。
少なくとも 1 つのサーバーグループを作成したあと、kmipcfg list コマンドを使用して、サーバーグループに構成されているパラメータを表示します。
# kmipcfg list Server group: cluster1 State: enabled Hosts: server1.example.com:5696 server2.example.com:5696 server3.example.com:5696 Connection timeout: 5 Cache object time to live: 300 Encoding: TTLV Failover limit: 3 Client keystore: /var/user/testuser/kmip/cluster1 Client PKCS#12 bundle: cluster1_cred.p12 Secondary authentication type: none