第 11 章 tkstool （管理令牌密钥）

TKS 工具 tkstool，管理密钥，包括存储在令牌中的密钥、TKS 主密钥以及相关的密钥和数据库。

11.1. 语法

tkstool 可以用来以几种不同方式管理证书和密钥。这些不同操作的语法如下：

从令牌中删除密钥。

tkstool -D -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]

输入共享以生成新传输密钥。

tkstool -I -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]

显示指定键的键检查值(KCV)。

tkstool -K -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]

列出指定的密钥或所有密钥。

tkstool -L -n keyname -d dbdir [-h all | -h token_name]
 [-p dbprefix] [-f pwfile] [-x]

生成新的主密钥。

tkstool -M -n keyname -d dbdir [-h token_name] [-p dbprefix] [-f pwfile]

创建新密钥数据库。

tkstool -N -d dbdir [-p dbprefix] [-f pwfile]

更改密钥数据库密码。

tkstool -P -d dbdir [-p dbprefix] [-f pwfile]

重命名对称密钥。

tkstool -R -n keyname -r new_keyname -d dbdir [-h token_name]
 [-p dbprefix] [-f pwfile]

生成新的传输密钥。

tkstool -T -n keyname -d dbdir [-h token_name]
 [-p dbprefix] [-f pwfile] [-z noiseFile]

解包嵌套的主密钥。

tkstool -U -n keyname -d dbdir -t transport_keyname -i inputFile
 [-h token_name] [-p dbprefix] [-f pwfile]

嵌套新的主密钥。

tkstool -W -n keyname -d dbdir -t transport_keyname -o outputFile
 [-h token_name] [-p dbprefix] [-f pwfile]

注意

需要 Chrysalis-ITS 版本 2.3 来支持 tkstool 的 -R 选项的版本 1.0。

位于 Chrysalis-ITS 硬件令牌的传输键在早期版本的 tkstool 无法具有其 KCV 值决定，因为之前工具创建时没有设置 CKA_ENCRYPT 和 CKF_ENCRYPT 位的 K CV 值。

tkstool 选项如下：

选项	描述
D	从令牌中删除密钥。
d	必需。提供安全模块数据库（如果允许该操作）或密钥数据库目录（软件）。
f	使用密码文件的路径和文件名（如果使用）。
h	为 toke 提供令牌名称，其中包含要管理的密钥。某些操作允许所有选项管理令牌中的所有密钥。
I	输入共享以生成新传输密钥。
i	需要 -U。提供包含嵌套主密钥的输入文件的路径和文件名。
K	显示指定密钥的 KCV。
L	列出指定的密钥或所有密钥。
M	生成一个新的主密钥。
N	创建新密钥数据库（软件）。
n	除 -N、-P 和 -S 以外的每个操作都需要。指定要管理的密钥的名称。
o	使用 -W 需要。提供输出新嵌套主密钥的文件的路径和文件名。
P	更改密钥数据库密码（软件）。
p	为密钥数据库目录提供前缀。
R	重命名对称密钥。
r	使用 -R 需要。提供新密钥名称。
S	列出所有安全模块。
T	生成一个新的传输密钥。
t	需要 -U 和 -W。指定被管理的传输密钥的名称。
U	取消包装的主密钥。
W	包装新的主密钥。
x	强制数据库读/写。
z	提供 noise 文件的路径和文件名来生成密钥。

有两个选项可与 tkstool 一起使用，以获取有关该工具的更多信息。

选项	描述
H	显示扩展的帮助信息。
V	显示 tkstool 工具的版本号。