Pour IBM® HTTP
Server, vous pouvez utiliser l'utilitaire IKEYMAN afin de stocker des clés sur une unité PKCS11.
Procédure
- Vous devez connaître le nom de fichier et l'emplacement du pilote cryptographique afin de pouvoir stocker les clés sur l'unité PKCS11. Voici des exemples d'emplacements d'unités PKCS11 :
- nCipher :
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM e-business
Cryptographic Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- Si le serveur Web et le kit Java Development
Kit (JDK) sont au niveau 64 bits, sélectionnez une bibliothèque PKCS11 de fournisseur 64 bits.
Sur certaines plateformes, 64 est ajouté au nom de fichier de la bibliothèque PKCS11 64 bits.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
Vous pouvez afficher l'architecture du serveur Web en exécutant apachectl -V.
Vous pouvez afficher l'architecture du serveur Web en exécutant httpd.exe -V.
- Déterminez le libellé du jeton PKCS11 que vous utilisez.
Les outils de fournisseur natifs, comme pkcsconf -its, affichent souvent le libellé du jeton.
- Créez un fichier de configuration PKCS11 décrivant l'unité PKCS11 à l'aide des zones suivantes :
- bibliothèque : Chemin d'accès complet au pilote PKCS11 de l'architecture appropriée
- nom : Identique au libellé de jeton indiqué à l'étape précédente
- description : Zone de texte contenant la description
- attributs : Ensemble d'attributs que vous copiez à partir de l'exemple de certificats utilisé par le serveur Web
Remarque : Avec certains raccourcis clavier cryptographiques,
une autre syntaxe est requise pour éviter les erreurs SSL0227E.
Exemple
/opt/HTTPServer/conf/pkcs11.cfg :
library = /usr/lib/pkcs11/PKCS11_API.so
name = PCI
description = description
attributes(*,CKO_PRIVATE_KEY,*) =
{CKA_PRIVATE=true CKA_TOKEN=true)
- Mettez à jour le fichier java/jre/lib/security/java.security sous la racine d'installation pour ajouter un nouveau fournisseur de sécurité.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
# The following line is the last pre-existing security provider.
security.provider.12=com...
# Add the following line.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# The following line is the last pre-existing security provider.
security.provider.12=com...
# Add the following line.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- Exécutez l'utilitaire IKEYMAN pour mémoriser les clés sur l'unité PKCS11.
Après avoir lancé IKEYMAN :
- Dans le menu, sélectionnez Fichier de base de données de clés, puis cliquez sur Ouvrir pour accéder à la boîte de dialogue d'informations sur la base de données de clés.
- Dans le menu déroulant Type de base de données de clés, sélectionnez PKCS11Config.
Si PKCS11Config n'est pas une option, contrairement à PKCS11Direct, vous devez corriger cette erreur. Vérifiez le travail java.security effectué dans les étapes précédentes. L'option PKCS11Direct n'est pas visible pour le serveur Web.
Toutes les autres zones sont verrouillées car les paramètres proviennent du fichier pkcs11.cfg.
- Cliquez sur OK pour accéder à la boîte de dialogue Ouvrir le jeton cryptographique.
Le libellé du jeton cryptographique de l'unité PKCS11 apparaît dans le panneau. Il provient de la zone de nom du fichier pkcs11.cfg et peut être différent du libellé du jeton natif.
- Exécutez les opérations suivantes dans la boîte de dialogue Ouvrir le jeton cryptographique.
- Entrez le mot de passe du jeton cryptographique pour l'unité PKCS11 dans la zone Mot de passe du jeton cryptographique. Le mot de passe a été défini précédemment et il est propre au matériel. Il est souvent appelé code confidentiel d'utilisateur dans la documentation et les outils du fournisseur.
- Sélectionnez l'option Créer un fichier de base de données de clés secondaire et répondez aux invites pour créer un fichier de base de données de clés secondaire.
- Cliquez sur OK.
Résultats
Lorsque le jeton cryptographique est ouvert, IKEYMAN affiche les certificats stockés dans le jeton.
Que faire ensuite
Vous pouvez
créer,
importer ou
recevoir un certificat personnel comme vous le feriez d'habitude. La clé privée est stockée sur l'unité PKCS11.