第27章 KRATool (秘密鍵のラップ)
一部の秘密鍵(主に古いデプロイメントでは)は、Key Recovery Authority (KRA) でアーカイブされた場合に SHA-1、1024 ビットのストレージキーでラップされました。プロセッサーの速度とアルゴリズムが破損しているため、このアルゴリズムはセキュリティーレベルが低くなります。セキュリティー対策として、新しい強力なストレージ鍵 (SHA-256、2048 ビット鍵) で秘密鍵を再ラップできます。
注記
KRATool ユーティリティーは、1 つの KRA から秘密鍵をエクスポートし、新しいストレージキーで再ラップしてから、新しい KRA にインポートできるため、複数の KRA インスタンスを 1 つの KRA インスタンスに統合するプロセスの一部として使用できます。
27.1. Syntax
KRATool ユーティリティーを実行して、キーの再ラップ、キーの再番号、またはその両方を実行できます。
キーを再ラップするための構文:
KRATool -kratool_config_file /path/to/tool_config_file
-source_ldif_file /path/to/original_ldif_file
-target_ldif_file /path/to/newinstance_ldif_file
-log_file /path/to/tool_log_file
[-source_pki_security_database_path /path/to/nss_databases
-source_storage_token_name /path/to/token
-source_storage_certificate_nickname storage_certificate_nickname
-target_storage_certificate_file /path/to/new_ASCII_storage_cert
[-source_pki_security_database_pwdfile /path/to/password_file]]
[-source_kra_naming_context name -target_kra_naming_context name]
[-process_requests_and_key_records_only]
キーを再数値する構文:
KRATool -kratool_config_file /path/to/tool_config_file
-source_ldif_file /path/to/original_ldif_file
-target_ldif_file /path/to/newinstance_ldif_file
-log_file /path/to/tool_log_file
[-append_id_offset prefix_to_add | -remove_id_offset prefix_to_remove]
[-source_kra_naming_context name -target_kra_naming_context name]
[-process_requests_and_key_records_only]| オプション | 説明 |
|---|---|
| 必須パラメーター | |
| -kratool_config_file | ツールが使用する設定ファイルの完全パスおよびファイル名を指定します。この設定プロセスは、既存のキーレコードで特定のパラメーターを処理する方法、フォーマットの変更(命名コンテキストの変更やオフセットの追加など)、または変更日を更新するかどうかをツールに指示します。設定ファイルが必要で、デフォルトの ファイルが ツールに含まれています。ファイル形式については、「.cfg File」 で説明されています。 |
| -source_ldif_file | 古い KRA からのキーデータをすべて含む LDIF ファイルの完全なパスおよびファイル名を指定します。 |
| -target_ldif_file | ツールが 新しい KRA からすべてのキーデータを書き込む LDIF ファイルの完全なパスおよびファイル名を指定します。このファイルは、実行中のツールにより作成されます。 |
| -log_file | ツールの進捗とメッセージをログに記録するために使用するログファイルのパスとファイル名を指定します。このファイルは、実行中のツールにより作成されます。 |
| オプションのパラメーター | |
| -source_kra_naming_context | 元の KRA インスタンスの命名コンテキスト(元の KRA を参照する DN 要素)を指定します。キー関連の LDIF エントリーには、cn=1,ou=kra,ou=requests,dc=alpha.example.com-pki-kra などの KRA インスタンス名を持つ DN があります。そのエントリーの命名コンテキストは、DN 値 alpha.example.com-pki-kra です。これらのエントリーは、古い KRA インスタンスの命名コンテキストから新しい KRA インスタンスの命名コンテキストに、自動的に名前を変更できます。
この引数はオプションですが、ターゲット KRA にインポートする前に LDIF ファイルを編集する必要がないため、推奨されます。
この引数を使用する場合は、
-target_kra_naming_context 引数も使用する必要があります。
|
| -target_kra_naming_context | 新しい KRA インスタンスの命名コンテキストを指定します。元のキーエントリーを に変更 する 必要がある名前です。キー関連の LDIF エントリーには、cn=1,ou=kra,ou=requests,dc=omega.example.com-pki-kra などの KRA インスタンス名を持つ DN があります。そのエントリーの命名コンテキストは、DN 値 omega.example.com-pki-kra です。これらのエントリーは、古い KRA インスタンスから新しい KRA インスタンスの命名コンテキストに、自動的に名前を変更できます。
この引数はオプションですが、ターゲット KRA にインポートする前に LDIF ファイルを編集する必要がないため、推奨されます。
この引数を使用する場合は、
-source_kra_naming_context 引数も使用する必要があります。
|
| -process_requests_and_key_records_only | ソース LDIF ファイルから設定エントリーを削除し、キーと要求エントリーのみを残します。
この引数はオプションですが、ターゲット KRA にインポートする前に LDIF ファイルを編集する必要がないため、推奨されます。
|
| rewrap パラメーター | |
| -source_pki_security_database_path | 古い KRA インスタンスによって使用される NSS セキュリティーデータベースが含まれるディレクトリーへの完全パスを指定します。
このオプションは、他の rewrap パラメーターが使用される場合に必要です。
|
| -source_storage_token_name | 内部トークンの内部 キー ストレージトークンや、ハードウェアトークン名として NHSM6000-OCS などの KRA データを格納するトークンの名前を指定します。
このオプションは、他の rewrap パラメーターが使用される場合に必要です。
|
| -source_storage_certificate_nickname | 古い KRA インスタンスの KRA ストレージ証明書のニックネームを指定します。この証明書は 古い KRA インスタンスのセキュリティーデータベースに配置されるか、セキュリティーデータベースにはハードウェアトークンの証明書へのポインターが含まれます。
このオプションは、他の rewrap パラメーターが使用される場合に必要です。
|
| -target_storage_certificate_file | 新しい KRA インスタンスのストレージ証明書の ASCII 形式のファイルのパスおよびファイル名を指定します。ストレージ証明書は新しい KRA のデータベースからエクスポートし、KRATool を実行する前にアクセス可能な場所に保存する必要があります。
このオプションは、他の rewrap パラメーターが使用される場合に必要です。
|
| -source_pki_security_database_pwdfile | -source_storage_token_name オプションで指定したストレージトークンのパスワードのみが含まれるパスワードファイルへのパスとファイル名を指定します。
この引数は、他の rewrap パラメーターが使用される場合は任意です。この引数を使用しない場合、スクリプトはパスワードを要求します。
|
| 番号オフセットパラメーター | |
| -append_id_offset | 競合の可能性を防ぐために、インポートされたすべてのキーに先行される ID 番号を指定します。KRATool を使用してエクスポートされたキーを持つすべての KRA インスタンスに一意の ID オフセットを使用する必要があります。
-append_id_offset を使用する場合は、-remove_id_offset オプションを使用し ない でください。
|
| -remove_id_offset | インポートされたすべてのキーの先頭から削除する ID 番号を指定します。
-remove_id_offset を使用する場合は、-append_id_offset オプションを使用し ない でください。
|
