Para o IBM® HTTP Server,
é possível usar o IKEYMAN para armazenar chaves em um dispositivo PKCS11.
Procedimento
- Obtenha
o nome do arquivo e o local do caminho do driver criptográfico
para armazenar as chaves no dispositivo PKCS11. A seguir estão exemplos de locais de caminho para dispositivos PKCS11:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM e-business Cryptographic
Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- Se seu servidor da Web e o Java Development
Kit (JDK) forem de 64 bits, selecione uma biblioteca PKCS11 do fornecedor de 64 bits.
Em algumas plataformas, o nome do arquivo da biblioteca PKCS11 de 64 bits possui 64 anexado
a ele.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
É possível exibir a
arquitetura do servidor da Web executando apachectl -V.
É possível exibir a arquitetura do servidor da Web
executando httpd.exe -V.
- Determine
a etiqueta do token do PKCS11 que você
usa.
Ferramentas do fornecedor nativas, tal como pkcsconf -its,
geralmente exibem a etiqueta do token.
- Crie
um arquivo de configuração de PKCS11 que descreve seu dispositivo PKCS11
usando os campos a seguir:
- library:
Caminho completo para o driver PKCS11 de arquitetura
adequado
- name: Mesmo que a etiqueta do token
da etapa
anterior
- description: Campo de texto com sua
descrição
- attributes: Um conjunto de atributos
que você copia
literalmente do exemplo de certificados que o servidor da Web usa
Nota: Com alguns aceleradores criptográficos, é necessário uma sintaxe alternativa
para evitar erros SSL0227E.
exemplo
/opt/HTTPServer/conf/pkcs11.cfg:
library = /usr/lib/pkcs11/PKCS11_API.so
name = PCI
description = description
attributes(*,CKO_PRIVATE_KEY,*) =
{CKA_PRIVATE=true CKA_TOKEN=true)
- Atualize o arquivo java/jre/lib/security/java.security
na raiz da instalação para incluir um novo provedor de segurança.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
# The following line is the last pre-existing security provider.
security.provider.12=com...
# Add the following line.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# The following line is the last pre-existing security provider.
security.provider.12=com...
# Add the following line.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- Execute IKEYMAN para armazenar as chaves no dispositivo PKCS11.
Depois de ativar IKEYMAN:
- Selecione Arquivo do Banco de Dados de Chaves no menu e, em seguida, Abrir para navegar para a caixa de diálogo Informações do Banco de Dados de Chaves
- No menu suspenso
para Tipo de Banco de Dados de Chaves, selecione PKCS11Config.
Se PKCS11Config
não for uma opção, mas PKCS11Direct for, você terá um erro que
deverá corrigir. Verifique seu trabalho de java.security em etapas anteriores. A opção
PKCS11Direct não está visível no servidor da Web.
Todos os outros campos se tornam
bloqueados, pois os parâmetros são fornecidos a partir do arquivo pkcs11.cfg.
- Clique em OK para navegar para o diálogo Abrir Token Criptográfico.
A etiqueta Etiqueta do Token Criptográfico do dispositivo PKCS11 é exibida no painel. Esta etiqueta vem do campo de nome do arquivo pkcs11.cfg
e pode ser diferente da etiqueta de token nativa.
- Execute
as ações a seguir no diálogo Abrir Token Criptográfico.
- Insira a senha de token criptográfico para o dispositivo PKCS11 no
campo Senha do Token Criptográfico. A
senha foi configurada anteriormente e é específica do hardware. Esta senha
geralmente é chamada de PIN do usuário na documentação e nas ferramentas do fornecedor.
- Selecione
a opção Criar novo Arquivo do banco de dados de chave secundário
e conclua os prompts para criar um novo banco de dados de chaves secundário.
- Clique em OK.
Resultados
Após abrir um token criptográfico com êxito, o IKEYMAN exibirá os certificados armazenados no token criptográfico.
O que Fazer Depois
É possível
criar,
importar ou
receber um certificado pessoal
como você normalmente o faria. A chave privada é armazenada em seu dispositivo PKCS11.