13.7. 管理子系统使用的令牌

证书系统管理两个令牌组：供子系统用于执行 PKI 任务和通过子系统发布的令牌。这些管理任务专门用于子系统使用的令牌。

要查看证书系统是否可以被要安装的证书系统检测到令牌，请使用 TokenInfo 工具。例如：

TokenInfo /var/lib/pki/instance_name/alias
Database Path: /var/lib/pki/instance_name/alias
Found external module 'NSS Internal PKCS #11 Module'

此实用程序将返回所有可由证书系统检测到的令牌，而不仅仅是在证书系统中安装的令牌。

要查看当前为证书系统实例安装的令牌列表，请使用 modutil 实用程序。

打开实例 别名 目录。例如：
```
cd /var/lib/pki/instance_name/alias
```
显示有关安装的 PKCSGRESS 模块的信息，以及使用 modutil 工具有关相应令牌的信息。
```
modutil -dbdir . -nocertdb -list
```

存储子系统密钥对的令牌（内部或外部）由密码进行保护（加密）。要解密密钥对或获取它们的访问权限，请输入令牌密码。当令牌首次被访问时，通常会在证书系统安装过程中设定此密码。

最好更改密码，以定期保护服务器的密钥和证书。更改密码可最大程度降低某些人发现密码的风险。要更改令牌的密码，请使用 certutil 命令行工具。

单点登录密码缓存将令牌密码存储在 password.conf 文件中。每次更改令牌密码时，都必须手动更新此文件。有关通过 password.conf 文件管理密码的更多信息，请参阅 规划、安装和部署指南中的 9.3 管理系统密码（通用标准版 ）。