Prerequisiti per Keytool e Jarsigner

Variabili di ambiente

Con il provider JCE vengono utilizzate le seguenti variabili di ambiente shell:

• LD_LIBRARY_PATH: questa variabile deve includere il percorso della directory che contiene il file ocidkmsjca.so. L'uso di questa variabile consente a JCE di trovare le librerie java native necessarie per comunicare con l'HSM. Per le installazioni standard, la directory è /opt/oci/hsm/lib.
• HSM_USER: il nome utente crittografico.
• HSM_PASSWORD: la password per l'utente crittografico.

Prefisso questi valori prima dei comandi, come mostra l'esempio seguente per il comando importcert.

LD_LIBRARY_PATH=<jce_library_path> HSM_USER=<example-username> HSM_PASSWORD=<example-password> \
keytool \
-J-cp -J<dedicated_kms_jce_jar_path> \
-importcert ....

Facoltativamente, è possibile creare variabili di ambiente per le credenziali se non si desidera aggiungerle ogni volta. Non esportare le credenziali come variabili di ambiente se altri utenti avrebbero accesso alle credenziali. Ad esempio:

$ export HSM_USER=<HSM-user-name>
$ export HSM_PASSWORD=<example-password>
$ export LD_LIBRARY_PATH=/opt/oci/hsm/lib
            

Flag comando

Utilizzare i seguenti flag con tutti i comandi Keytool e Jarsigner quando si utilizza il provider JCE KMS dedicato:

• -J-cp -J<dedicated_kms_jce_jar_path>: aggiunge il file JAR JCE KMS dedicato al classpath durante l'esecuzione dei comandi. Per ulteriori informazioni su questo file, vedere Installare il file JCE (Java Cryptography Extension) RPM.

• -storetype: "DKKS" (-storetype DKKS) indica che viene utilizzato un keystore DKKS (KMS dedicato KeyStore).

• -keypass: Richiesto dalle utility keytool e jarsigner, ma non convalidato da HSM. È possibile passare qualsiasi valore per questo flag, ma è necessario includere il flag nel comando.
• -storepass: Richiesto dalle utility keytool e jarsigner, ma non convalidato da HSM. È possibile passare qualsiasi valore per questo flag, ma è necessario includere il flag nel comando.