27.3. 例子
KRATool 执行两个操作:它可以使用新的私钥重新封装密钥,它可以重新为关键记录在 LDIF 文件条目中重新编号属性,包括注册和恢复请求。必须至少执行一个操作(rewrap 或 renumber),且两者都可以在单个调用中执行。
例 27.2. 解包密钥
重新构建密钥时,该工具需要访问源 KRA 及其存储证书 的原始 NSS 数据库,以取消打包密钥,以及用于重新打包密钥的 storage 证书。
KRATool -kratool_config_file "/usr/share/pki/java-tools/KRATool.cfg" -source_ldif_file "/tmp/files/originalKRA.ldif" -target_ldif_file "/tmp/files/newKRA.ldif" -log_file "/tmp/kratool.log"-source_pki_security_database_path "/tmp/files/"-source_storage_token_name "Internal Key Storage Token"-source_storage_certificate_nickname "storageCert cert-pki-kra"-target_storage_certificate_file "/tmp/files/omega.cert"
例 27.3. 重新编号键
当将多个 KRA 实例合并到一个实例中时,务必要确保没有密钥或请求记录冲突 CN、DN、序列号或请求 ID 号。这些值可以被处理,以将新的大数量附加到现有值。
对于 CN,新数字是添加原始 CN 加上附加号。例如,如果 CN 是 4,且附加号为 1000000,新的 CN 为 1000004。
对于序列号和请求 ID,该值始终是一个数字数加上值。因此,CN 为 4,序列号为 014,或一个数字和 CN 值。如果附加号为 1000000,新的序列号为 071000004,对于 7 位,然后附加号(1000000)和原始值(4)。
KRATool -kratool_config_file "/usr/share/pki/java-tools/KRATool.cfg" -source_ldif_file "/tmp/files/originalKRA.ldif" -target_ldif_file "/tmp/files/newKRA.ldif" -log_file "/tmp/kratool.log" -append_id_offset 100000000000例 27.4. 恢复原始号
如果一个数字附加到键条目中,如 例 27.3 “重新编号键” 中所示,该数字也可以被删除。除了更新 CN 外,它还重新构建任何关联的数字,如序列号和请求 ID 号。如果原始数字不足以防止冲突或测试迁移或 KRA 合并过程的一部分,则可能需要撤销重新编号操作。
KRATool -kratool_config_file "/usr/share/pki/java-tools/KRATool.cfg" -source_ldif_file "/tmp/files/originalKRA.ldif" -target_ldif_file "/tmp/files/newKRA.ldif" -log_file "/tmp/kratool.log" -remove_id_offset 100000000000例 27.5. 在单个命令中重新编号和解包
在同一调用中可以执行 Rewrapping 和 renumbering 操作。
KRATool -kratool_config_file "/usr/share/pki/java-tools/KRATool.cfg" -source_ldif_file "/tmp/files/originalKRA.ldif" -target_ldif_file "/tmp/files/newKRA.ldif" -log_file "/tmp/kratool.log" -source_pki_security_database_path "/tmp/files/" -source_storage_token_name "Internal Key Storage Token" -source_storage_certificate_nickname "storageCert cert-pki-kra" -target_storage_certificate_file "/tmp/files/omega.cert" -append_id_offset 100000000000
