在 CA CEM 中使用 nCipher › 使用 nCipher 密钥和操作员卡 › 合并操作员卡集

合并操作员卡集

如果 TIM 要使用多个密钥，那么用同一操作员卡集 (OCS) 保护它们可能会有优势。 如果具有受不同 OCS 保护的多个密钥，且这些密钥属于同一安全全局并对这些密钥启用了“恢复”，则可以将所有这些密钥恢复到同一 OCS，从而可以通过单个 OCS 加载和访问它们。

请执行以下步骤：

注意：该操作需要访问法定数目的管理员卡集 (ACS) 进行授权。

重要信息！ 请不要对活动的 Web 服务器密钥执行 rocs 操作。 请在 TIM 计算机上对副本执行此操作。

注意：如果需要重新定位密钥，请在处理 OCS 之前执行此操作。 有关详细信息，请参阅重新定位 Web 服务器私钥。

1. 要检查密钥是否已启用“恢复”，请使用 nfkminfo：

   $ /opt/nfast/bin/nfkminfo -k embed
   Key listing AppName embed (1 keys):
    AppName embed                Ident 5dce27b0a84b517b0db7b5aa2f09452e27a13d38
   $ /opt/nfast/bin/nfkminfo -k embed 5dce27b0a84b517b0db7b5aa2f09452e27a13d38
   Key AppName embed Ident 5dce27b0a84b517b0db7b5aa2f09452e27a13d38
    BlobKA length         1052
    BlobPubKA length      444
    BlobRecoveryKA length 1208
    name                  "MyKey"
    hash                  d96ee8282cc7f76ea32df1ce299ab087a206e530
    recovery              Enabled
   ...
   

2. 将标识符从第一个调用复制到第二个调用。 recovery Enabled 行显示可以将密钥恢复到新的 OCS。

   $ /opt/nfast/bin/rocs -i
   `rocs' key recovery tool
   Useful commands: `help', `help intro', `quit'.
   rocs> list cardsets
   No. Name                     Keys (recov) Sharing
     1 iWorld1of1               0 (0)        1 of 1; persistent
     2 NonPersistentOCS         9 (9)        1 of 1
   rocs> target 1
   rocs> list keys
     No. Name                     App        Protected by
       1 MyKey                    caping     module
       2 MyKey                    caping     module
       3 MyKey                    embed      module
       4 Example label            pkcs11     NonPersistentOCS
       ...
   rocs> mark 4
   rocs> recover
                                         
   Authorising OCS replacement:
    Module 1: 0 cards of 1 read          
    Module 1 slot 0: empty               
    Module 1 slot 0: Admin Card #1       
   ... prompt for the ACS passphrase ...
    Module 1 slot 0:- passphrase supplied - reading card
   Card reading complete.            
                                    
                                         
   Loading `iWorld1of1':
    Module 1: 0 cards of 1 read          
    Module 1 slot 0: Admin Card #1       
    Module 1 slot 0: empty
    Module 1 slot 0: `iWorld1of1' #1
   ... prompt for the OCS passphrase ...
    Module 1 slot 0:- passphrase supplied - reading card
   Card reading complete.            
                                    
   rocs> save 4
   rocs> quit