红帽全球峰会18.8. 管理子系统使用的令牌
证书系统管理两个令牌组:供子系统用于执行 PKI 任务和通过子系统发布的令牌。这些管理任务专门引用子系统使用的令牌。
有关管理智能卡令牌的详情,请参考 第 6 章 使用和配置令牌管理系统: TPS 和 TKS。
18.8.1. 检测令牌
要查看证书系统是否可以被要安装的证书系统检测到令牌,请使用 TokenInfo 工具。
TokenInfo /var/lib/pki/ instance_name/alias Database Path: /var/lib/pki/ instance_name/alias Found external module 'NSS Internal PKCS #11 Module'
此工具将返回证书系统可检测到的所有令牌,而不仅仅是在证书系统中安装的令牌。
18.8.1.1. 查看令牌
要查看当前为证书系统实例安装的令牌列表,请使用 modutil 实用程序。
打开实例
别名目录。例如:cd /var/lib/pki/ instance_name/alias显示有关安装的 PKCSGRESS 模块的信息,以及使用
modutil工具有关相应令牌的信息。modutil -dbdir . -nocertdb -list
18.8.2. 更改令牌的密码
存储子系统的密钥和证书的令牌(内部或外部)受密码保护(加密)。要解密密钥对或获得对它们的访问权限,请输入令牌密码。当令牌首次访问时(通常在证书系统安装过程中)时设定此密码。
最好更改密码,以定期保护服务器的密钥和证书。更改密码可最大程度降低发现密码的人员的风险。要更改令牌的密码,请使用 certutil 命令行工具。
有关 certutil 的详情,请参考 http://www.mozilla.org/projects/security/pki/nss/tools/。
单点登录密码缓存将令牌密码存储在 password.conf 文件中。每次更改令牌密码时,都必须手动更新此文件。有关通过 password.conf 文件管理密码的更多信息,请参阅 红帽认证系统规划、安装和部署指南。
