17.8. 管理子系统使用的令牌

证书系统管理器两组令牌：子系统使用的令牌来执行通过子系统发布的 PKI 任务和令牌。这些管理任务专门引用子系统使用的令牌。

有关管理智能卡令牌的详情，请参考第 6 章 使用和配置令牌管理系统：TPS 和 TKS。

要查看证书系统是否可以检测到令牌，请使用 TokenInfo 工具。

TokenInfo /var/lib/pki/instance_name/alias
Database Path: /var/lib/pki/instance_name/alias
Found external module 'NSS Internal PKCS #11 Module'

此工具将返回证书系统可检测到的所有令牌，而不仅仅是在证书系统中安装的令牌。

要查看当前为证书系统实例安装的令牌列表，请使用 modutil 实用程序。

打开实例 别名 目录。例如：
```
cd /var/lib/pki/instance_name/alias
```
使用 modutil 工具显示安装的 PKCS the 模块的信息，以及使用 modutil 工具有关对应令牌的信息。
```
modutil -dbdir . -nocertdb -list
```

存储子系统的密钥和证书的令牌（内部或外部）受密码保护（加密）。要解密密钥对或获得对它们的访问权限，请输入令牌密码。当令牌首次访问时（通常在证书系统安装过程中）时设定此密码。

最好更改用于定期保护服务器的密钥和证书的密码。更改密码可最大程度降低发现密码的人员的风险。要更改令牌的密码，请使用 certutil 命令行工具。

有关 certutil 的详情，请参考 http://www.mozilla.org/projects/security/pki/nss/tools/。

单点登录密码缓存将令牌密码存储在 password.conf 文件中。每次更改令牌密码时，都必须手动更新此文件。有关通过 password.conf 文件管理密码的更多信息，请参阅 Red Hat Certificate System Planning、安装和部署指南。