6.12. 设置新密钥集
本节论述了设置令牌处理系统(TPS)和令牌密钥服务(TKS)中设置的默认密钥的替代选择。
- TKS 配置
- 默认密钥集使用
/var/lib/pki/instance_name/tks/conf/CS.cfg文件中的以下选项在 TKS 中配置:tks.defKeySet._000=## tks.defKeySet._001=## Axalto default key set: tks.defKeySet._002=## tks.defKeySet._003=## tks.defKeySet.mk_mappings.#02#01=<tokenname>:<nickname> tks.defKeySet._004=## tks.defKeySet.auth_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f tks.defKeySet.kek_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f tks.defKeySet.mac_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f tks.defKeySet.nistSP800-108KdfOnKeyVersion=00 tks.defKeySet.nistSP800-108KdfUseCuidAsKdd=false
以上配置定义了特定于某些类型或可用于 TMS 中的令牌类的设置。最重要的部分是 3 个开发人员或(开箱即用)会话密钥,用于在对称密钥切换发生前创建安全频道。其他类型的键可能具有这些键的不同默认值。描述nistSP800键离散方法的设置控制此方法是否使用标准 Visa 方法。具体来说,tks.defKeySet.nistSP800-108KdfOnKeyVersion选项的值决定将使用 NIST 版本。nistSP800-108KdfUseCuidAsKdd选项允许您在处理过程中使用 CUID 的传统密钥 ID 值。较新的 KDD 值最常被使用,因此默认禁用这个选项(默认为 )。这可让您配置一个新的密钥集来启用对新密钥类别的支持。例 6.2. 为
jForte类启用支持要启用对jForte类的支持,请设置:tks.jForte._000=## tks.jForte._001=## SAFLink's jForte default key set: tks.jForte._002=## tks.jForte._003=## tks.jForte.mk_mappings.#02#01=<tokenname>:<nickname> tks.jForte._004=## tks.jForte.auth_key=#30#31#32#33#34#35#36#37#38#39#3a#3b#3c#3d#3e#3f tks.jForte.kek_key=#50#51#52#53#54#55#56#57#58#59#5a#5b#5c#5d#5e#5f tks.jForte.mac_key=#40#41#42#43#44#45#46#47#48#49#4a#4b#4c#4d#4e#4f tks.jForte.nistSP800-108KdfOnKeyVersion=00 tks.jForte.nistSP800-108KdfUseCuidAsKdd=false
请注意,与上例相比,3 静态会话键的不同。证书系统支持 Giesecke & Devrient (G&D) Smart Cafe 6 智能卡的安全通道协议 03 (SCP03)。要在 TKS 中为这些智能卡启用 SCP03 支持,请在/var/lib/pki/instance_name/tks/conf/CS.cfg文件中设置:tks.defKeySet.prot3.divers=emv tks.defKeySet.prot3.diversVer1Keys=emv tks.defKeySet.prot3.devKeyType=DES3 tks.defKeySet.prot3.masterKeyType=DES3
- TPS 配置
- 当支持的客户端试图对令牌执行操作时,必须将 TPS 配置为识别新密钥集。默认
defKeySet最常被使用。确定 TPS 中的keySet的主要方法涉及 第 6.7 节 “映射解决程序配置”。如需了解建立这个解析器机制所需的准确设置,请参阅链接部分。如果没有 KeySet Mapping Resolver,则 TPS 有几个回退方法来确定正确的keySet:- 您可以将
tps.connector.tks1.keySet=defKeySet添加到 TPS 的CS.cfg配置文件中。 - 某些客户端可能会被配置为显式传递所需的
keySet值。但是,企业级安全客户端目前没有此功能。 - 当 TPS 根据所需方法计算正确的
keySet时,对 TKS 的所有请求都通过keySet值创建安全频道。然后,TKS 可以使用自己的keySet配置(上面描述)来确定如何继续。
