第 6 章 通过 PKCS#11 将应用程序配置为使用加密硬件 Red Hat Enterprise Linux 8

公钥加密标准(PKCS)是用来保存加密信息并执行加密功能的加密设备的应用编程接口(API)。

PKCSBACKEND 引入了 加密令牌，它是一个以统一的方式向应用程序提供每个硬件或软件设备的对象。因此，应用程序会查看智能卡等设备，这些设备通常由个人使用，硬件安全模块通常被计算机使用，作为 PKCSGIO 加密令牌。

PKCS #11 令牌可以存储各种对象类型，包括证书、数据对象以及公有、私有或机密密钥。这些对象可通过 PKCSBACKEND Uniform Resource Identifier (URI)方案来唯一标识。

PKCS #11 URI 是一种标准方法，其根据对象属性来识别 PKCS #11 模块中的特定对象。这可让您以 URI 格式，使用同样的配置字符串来配置所有的库和应用程序。

RHEL 默认为智能卡提供 OpenSC PKCS #11 驱动程序。但是，硬件令牌和 HSM 可以有自己的 PKCS #11 模块，这些模块在系统中没有对应项。您可以使用 p11-kit 工具注册这样的 PKCS #11 模块，它作为系统中注册的智能卡驱动程序的包装器。

要使您自己的 PKCS #11 模块在系统上正常工作，请在 /etc/pkcs11/modules/ 目录中添加一个新的文本文件

您可以通过在 /etc/pkcs11/modules/ 目录中创建一个新的文本文件，来将自己的 PKCS #11 模块添加到系统。例如，p11-kit 中的 OpenSC 配置文件如下所示：

其它资源