第11章 tkstool (トークンキーの管理)
TKS ユーティリティー tkstool は、トークンに保存されているキー、TKS マスターキー、および関連するキーおよびデータベースを含むキーを管理します。
11.1. Syntax
tkstool を使用して、さまざまな方法で証明書および鍵を管理できます。これらの異なる操作の構文は、以下のとおりです。
- トークンからのキーの削除
tkstool -D -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]
- ファイル共有を入力して、新しいトランスポートキーを生成します。
tkstool -I -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]
- 指定されたキーのキーチェック値(KCV)を表示します。
tkstool -K -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]
- 指定されたキーまたはすべてのキーの一覧表示。
tkstool -L -n keyname -d dbdir [-h all | -h token_name] [-p dbprefix] [-f pwfile] [-x]
- 新規マスターキーの生成。
tkstool -M -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]
- 新しいキーデータベースの作成。
tkstool -N -d dbdir [-p dbprefix] [-f pwfile]
- キーデータベースのパスワードの変更。
tkstool -P -d dbdir [-p dbprefix] [-f pwfile]
- 対称キーの名前を変更します。
tkstool -R -n keyname -r new_keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]
- すべてのセキュリティーモジュールの一覧表示。
tkstool -S -d dbdir [-p dbprefix] [-x]
- 新しいトランスポートキーを生成します。
tkstool -T -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile] [-z noiseFile]
- ラップされたマスターキーをアンラップします。
tkstool -U -n keyname -d dbdir -t transport_keyname -i inputFile [-h token_name] [-p dbprefix] [-f pwfile]
- 新規マスターキーをラップします。
tkstool -W -n keyname -d dbdir -t transport_keyname -o outputFile [-h token_name] [-p dbprefix] [-f pwfile]
注記
tkstool の -R オプションのバージョン 1.0 をサポートするには、Chrysalis-ITS バージョン 2.3 が必要です。
以前のバージョンの tkstool によって作成された Chrysalis-ITS ハードウェアトークンに存在するトランスポートキーは、CKA_ENCRYPT ビットおよび CKF_ENCRYPT ビットが以前のツールで作成されるときに設定されないため、KCV 値を tkstool の -K オプションで決定できません。
tkstool オプションは以下のとおりです。
| オプション | 説明 |
|---|---|
| D | トークンからキーを削除します。 |
| d | 必須。セキュリティーモジュールデータベース(その操作で許可されている場合は HSM)またはキーデータベースディレクトリー(ソフトウェア)を提供します。 |
| f | パスワードファイルのパスとファイル名を指定します(ある場合)。 |
| h | 管理するキーが含まれる toke のトークン名を指定します。一部の操作では、すべて のオプションがトークンのすべてのキーを管理できます。 |
| I | 新しいトランスポートキーを生成するための入力共有。 |
| i | -U で必須ラップされたマスターキーを含む入力ファイルのパスおよびファイル名を指定します。 |
| K | 指定されたキーの KCV を表示します。 |
| L | 指定されたキーまたはすべてのキーを一覧表示します。 |
| M | 新しいマスターキーを生成します。 |
| N | 新しいキーデータベース(ソフトウェア)を作成します。 |
| n | -N、-P、および -S 以外のすべての操作に必要です。管理対象キーの名前を指定します。 |
| o | -W で必須新しいラップされたマスターキーを出力するファイルのパスおよびファイル名を指定します。 |
| P | キーデータベースのパスワード(ソフトウェア)を変更します。 |
| p | キーデータベースディレクトリーに接頭辞を指定します。 |
| R | 対称鍵の名前を変更します。 |
| r | -R で必須新しいキー名を指定します。 |
| S | すべてのセキュリティーモジュールを一覧表示します。 |
| T | 新しいトランスポートキーを生成します。 |
| t | -U および -W で必須管理対象トランスポートキーの名前を指定します。 |
| U | ラップされたマスターキーをアンラップします。 |
| W | 新規マスターキーをラップします。 |
| x | データベースの読み取り/書き込みを強制します。 |
| z | キーを生成するためにノイズファイルのパスとファイル名を指定します。 |
ユーティリティーに関する詳細情報を取得するために tkstool で使用できる追加オプションは 2 つあります。
| オプション | 説明 |
|---|---|
| H | 拡張ヘルプ情報を表示します。 |
| V | tkstool ツールのバージョン番号を表示します。 |
