13.7. サブシステムによって使用されるトークンの管理
Certificate System は、トークンの 2 つのグループを管理します。PKI タスクを実行するためにサブシステムによって使用されるトークンと、サブシステムを通じて発行されるトークンです。これらの管理タスクは、特にサブシステムによって使用されるトークンを参照します。
13.7.1. トークンの検出
インストールまたは設定する Certificate System によってトークンを検出できるかどうかを確認するには、TokenInfo ユーティリティーを使用します。以下に例を示します。
TokenInfo /var/lib/pki/instance_name/alias Database Path: /var/lib/pki/instance_name/alias Found external module 'NSS Internal PKCS #11 Module'
このユーティリティーは、Certificate System にインストールされたトークンだけでなく、Certificate System で検出できるすべてのトークンを返します。
13.7.1.1. トークンの表示
Certificate System インスタンスに現在インストールされているトークンのリストを表示するには、modutil ユーティリティーを使用します。
インスタンスの
aliasディレクトリーを開きます。以下に例を示します。cd /var/lib/pki/instance_name/alias
modutilツールを使用して、インストールされている PKCS #11 モジュールに関する情報と、対応するトークンに関する情報を表示します。modutil -dbdir . -nocertdb -list
13.7.2. トークンのパスワードの変更
サブシステムのキーペアと証明書を格納する内部または外部のトークンは、パスワードによって保護 (暗号化) されます。キーペアを復号する、またはキーペアにアクセスするには、トークンのパスワードを入力します。このパスワードは、トークンが最初にアクセスされたとき、通常は Certificate System のインストール時に設定されます。
サーバーのキーと証明書を保護するパスワードを定期的に変更することが推奨されます。パスワードを変更すると、誰かがパスワードを見つけるリスクを最小限に抑えることができます。トークンのパスワードを変更するには、certutil コマンドラインユーティリティーを使用します。
certutil の詳細は、http://www.mozilla.org/projects/security/pki/nss/tools/ を参照してください。
シングルサインオンパスワードキャッシュは、password.conf ファイルにトークンパスワードを保存します。このファイルは、トークンパスワードが変更されるたびに手動で更新する必要があります。password.conf ファイルによるパスワード管理の詳細は、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 9.3 システムパスワードの管理 を参照してください。
