什么是OpenCryptoki
OpenCryptoki提供Linux下的PKCS#11库和工具,支持包括TPM和IBM加密硬件以及软件令牌。
目前(2019/05/06)最新release版为3.11.1,实现了PKCS#11规范版本2.20,软件包包括以下几个加密令牌:CCA、ICA、TPM、SWToken、ICSF和EP11。
安装之前
下载依赖包
Berkeley DB 4.8.30
OpenLDAP 2.4.47
OpenSSL 1.0.2r
openCryptoki
添加用户组pkcs11
openCryptoki默认用户组pkcs11中的用户都可以使用,但一般系统中并没有pkcs11用户组,可用以下命令创建pkcs11用户组:
# groupadd pkcs11
使用如下命令添加用户到pkcs11组:
# usermod -G pkcs11 <user>
安装
安装Berkeley DB
# tar -zxvf db-4.8.30.tar.gz && cd db-4.8.30/build_unix/
# ../dist/configure --prefix=/usr/local && make && make install
# ldconfig
安装 OpenLDAP
# tar -zxvf openldap-2.4.47.tgz && cd openldap
# ./configure --prefix=/usr/local && make && make install
安装 OpenSSL
# tar -zxvf OpenSSL_1_0_2r.tar.gz && cd openssl_OpenSSL_1_0_2r
# ./config shared --prefix=/usr/local && make && make install
安装 openCryptoki
# tar -zxvf v3.11.1.tar.gz && cd opencryptoki-3.11.1
# ./bootstrap.sh
# ./configure --prefix=/usr/local && make && make install
使用
启用openCryptoki
# pkcsslot
初始化指定token
# pkcsconf -I -c slotid
slotid可以从/usr/local/etc/opencryptoki/opencryptoki.conf文件中查看
初始化token的PIN
# pkcsconf -u -c slotid
默认的 SO PIN为‘87654321’