注意:本节假定您拥有 nCipher 为 Web 服务器生成的私钥。
nCipher 安全全局可为各种应用程序编程接口 (API)(如 PKCS#11、Java JCE、OpenSSL、Microsoft CAPI(Windows 上)和 nCipher 本机 API)提供密钥。 根据生成密钥时所选的应用程序类型,将使用实际的加密密钥材料存储不同的信息,以便简化从该 API 进行的访问。
现有密钥可供其他应用程序使用。 该过程称为重新定位。 重新定位操作时,会将新密钥 blob 保存到文件系统中,其中包含相同的加密密钥材料,以及特定于新应用程序类型的新访问权限信息。
以下是各种 Web 服务器软件包所使用的不完整 API 列表:
|
服务器 |
平台 |
API |
应用程序 |
|---|---|---|---|
|
Apache |
全部 |
OpenSSL |
embed |
|
Sun ONE |
全部 |
PKCS#11 |
pkcs11 |
|
MS IIS |
Windows |
MS CAPI |
mscapi |
|
Tomcat |
全部 (Java) |
JCE |
jce |
TIM 计算机需要 embed 应用程序类型的密钥。 除了 /opt/nfast/kmdata/local 目录中的加密密钥 blob 之外,embed 密钥也随 embedsavefile 文件(该文件将 OpenSSL 指向要使用的特定密钥 blob)一起提供。
要将 Sun ONE Web 服务器密钥从应用程序类型 pkcs11 转换为 embed,请执行以下操作:
在此示例中,名为 MyOCS 的 1/N 操作员卡(可保护相应的密钥)位于 HSM 读卡器中。 使用 Enter 或 Return 键接受默认值。
$ /opt/nfast/bin/generatekey --retarget embed
from-application: Source application? (custom, embed, hwcrhk, pkcs11, simple)
[default custom] > pkcs11
from-ident: Source key identifier?
(uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419)
[default uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419]
>
embedsavefile: Filename to write key to? []
> /tmp/webserver1.pem
plainname: Key name? [] > webserver1
key generation parameters:
operation Operation to perform retarget
application Application embed
slot Slot to read cards from 0
verify Verify security of key yes
from-application Source application pkcs11
from-ident Source key identifier uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419
embedsavefile Filename to write key to /tmp/webserver1.pem
plainname Key name webserver1
Loading `MyOCS':
Module 1: 0 cards of 1 read
Module 1 slot 0: `MyOCS' #1
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_embed_b4c36e18ff38d2d45a2df425abd9febfaf873da4
|
版权所有 © 2013 CA。
保留所有权利。
|
|