14.6. 在 FIPS 主机上运行 CLI
如果要运行 Client Registration CLI (kcreg.sh|bat 脚本)或 Admin CLI (kcadm.sh|bat 脚本),CLI 还必须使用 BouncyCastle FIPS 依赖项而不是纯 BouncyCastle 依赖项。要达到此目的,您可以将 jars 复制到 CLI 库文件夹,且足够了。当检测到相应的 BCFIPS jars 存在时,CLI 工具将自动使用 BCFIPS 依赖项而不是普通 BCFIPS jars (请参阅上面的用于使用的版本)。例如,在运行 CLI 前使用类似以下内容的命令:
cp $KEYCLOAK_HOME/providers/bc-fips-*.jar $KEYCLOAK_HOME/bin/client/lib/ cp $KEYCLOAK_HOME/providers/bctls-fips-*.jar $KEYCLOAK_HOME/bin/client/lib/
注意
当试图通过 CLI 使用 BCFKS truststore/keystore 时,您可能会看到问题,因为此信任存储不是默认的 java 密钥存储类型。在 java 安全属性中,最好将其指定为默认值。例如,在使用 kcadm|kcreg 客户端执行任何操作前,在 unix 的系统上运行此命令:
echo "keystore.type=bcfks fips.keystore.type=bcfks" > /tmp/kcadm.java.security export KC_OPTS="-Djava.security.properties=/tmp/kcadm.java.security"
