זוהי הפקודה modutil שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות החינמיות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS.
תָכְנִית:
שֵׁם
modutil - ניהול מידע מודול PKCS #11 בתוך מסד הנתונים של מודולי האבטחה.
תַקצִיר
מודול [אפשרויות] [[טיעונים]]
סטָטוּס
התיעוד הזה עדיין בתהליך עבודה. אנא תרמו לסקירה הראשונית ב
מוזילה NSS באג 836477[1]
תיאור
כלי מסד הנתונים של מודול האבטחה, מודול, הוא כלי שורת פקודה לניהול PKCS
מידע על מודול #11 הן בתוך קבצי secmod.db והן בתוך טוקנים של חומרה. מודול
יכול להוסיף ולמחוק מודולים של PKCS #11, לשנות סיסמאות במסדי נתונים של אבטחה, לקבוע ברירות מחדל,
רשימת תוכן מודול, הפעלה או השבתה של חריצים, הפעלה או השבתה של תאימות FIPS 140-2,
ולהקצות ספקי ברירת מחדל לפעולות קריפטוגרפיות. כלי זה יכול גם ליצור
קבצי מסד נתונים של אישורים, מפתחות ומודולים.
המשימות הקשורות לניהול מסדי נתונים של מודול אבטחה הן חלק מתהליך ש
בדרך כלל כרוך גם בניהול מסדי נתונים מפתח ומסדי נתונים של תעודות.
אפשרויות
ריצה מודול תמיד דורשת אפשרות אחת (ורק אחת) כדי לציין את סוג המודול
פעולה. כל אפשרות יכולה לקבל ארגומנטים, החל מאפס ארגומנטים ועד ארגומנטים מרובים.
אפשרויות
-הוסף שם מודול
הוסף את מודול PKCS #11 בעל השם למסד הנתונים. השתמש באפשרות זו עם ה- קובץ-libfile,
-צפנים, ו מנגנונים ארגומנטים.
שם אסימון -changepw
שנה את הסיסמה על הטוקן בעל השם. אם הטוקן לא אותחל, פעולה זו
האפשרות מאתחלת את הסיסמה. השתמש באפשרות זו עם קובץ-pwfile ו קובץ-pw חדש
טיעונים. א. סיסמא שווה ערך למספר זיהוי אישי (PIN).
-chkfips
ודא אם המודול נמצא במצב FIPS הנתון. נָכוֹן אמצעי לוודא כי ה-
המודול נמצא במצב FIPS, בעוד שקר אמצעי לאימות שהמודול אינו נמצא ב-FIPS
מצב.
-לִיצוֹר
צור מסדי נתונים חדשים של אישורים, מפתחות ומודולים. השתמש ב- -dbdir ארגומנט ספרייה
כדי לציין ספרייה. אם אחד ממסדי הנתונים הללו כבר קיים בספרייה מוגדרת
מַדרִיך, מודול מחזיר הודעת שגיאה.
שם מודול ברירת מחדל
ציין את מנגנוני האבטחה שעבורם המודול בעל השם יהיה ספק ברירת מחדל.
מנגנוני האבטחה מוגדרים עם מנגנונים ויכוח.
-מחק את שם המודול
מחק את המודול בעל השם. לא ניתן למחוק את מודול ברירת המחדל של NSS PKCS #11.
-השבתת שם מודול
השבת את כל החריצים במודול הנקוב. השתמש ב -חָרִיץ ארגומנט להשבית פונקציה ספציפית
חָרִיץ.
לא ניתן להשבית את מודול NSS PKCS #11 הפנימי.
-הפעל שם מודול
הפעל את כל החריצים במודול הנקוב. השתמש ב -חָרִיץ טיעון כדי לאפשר גישה ספציפית
חָרִיץ.
-fips [אמת | שקר]
הפעל (true) או השבת (false) תאימות FIPS 140-2 עבור מודול NSS המוגדר כברירת מחדל.
כוח
שבת מודולהנחיות אינטראקטיביות של כך שניתן להריץ אותו מסקריפט. השתמש באפשרות זו
רק לאחר בדיקה ידנית של כל פעולה מתוכננת כדי לבדוק אם יש אזהרות ולוודא
שעקיפת ההנחיות לא תגרום לפגיעות אבטחה או לאובדן מסד נתונים
יושרה.
קובץ JAR -jar
הוסף מודול PKCS #11 חדש למסד הנתונים באמצעות קובץ ה-JAR בעל השם. השתמש בפקודה זו
עם -installdir ו -temporary ארגומנטים. קובץ ה-JAR משתמש בקובץ JAR של NSS PKCS #11
פורמט לזיהוי כל הקבצים שיש להתקין, שם המודול, המנגנון
דגלים, ודגלי הצפנה, כמו גם כל קובץ שיותקן על היעד
מכונה, כולל קובץ ספריית המודולים PKCS #11 וקבצים אחרים כגון
תיעוד. זה מכוסה בסעיף קובץ ההתקנה של JAR בדף המדריך,
אשר מפרט את הסקריפט המיוחד הדרוש לביצוע התקנה דרך שרת או
עם מודול.
-רשימה [שם מודול]
הצגת מידע בסיסי על תוכן הקובץ secmod.db. ציון א
שם מודול מציג מידע מפורט על מודול מסוים והחריצים שלו
אסימונים.
-רוואד
הוסף את מחרוזת מפרט המודול למסד הנתונים secmod.db.
רשימת גלם
הצג את מפרט המודול עבור מודול מסוים או עבור כל המודולים הניתנים לטעינה.
שם מודול ברירת מחדל
ציין את מנגנוני האבטחה שעבורם המודול בעל השם לא יהיה כברירת מחדל
ספק. מנגנוני האבטחה מצוינים עם מנגנונים ויכוח.
טיעונים
מודול
תן גישה למודול האבטחה.
MODULESPEC
ציין את מפרט מודול האבטחה לטעינה לתוך מסד הנתונים של האבטחה.
רשימת הפעלת הצפנה -ciphers
הפעלת צפנים ספציפיים במודול שנוסף למסד הנתונים.
רשימת הפעלת-הצפנה היא רשימה של שמות מוצפנים המופרדים בנקודתיים. צרפו רשימה זו ב
מרכאות אם הן מכילות רווחים.
ספריית -dbdir [sql:]
ציין את ספריית מסד הנתונים שבה יש לגשת או ליצור מסד נתונים של מודולי אבטחה
קבצים.
מודול תומך בשני סוגים של מסדי נתונים: מסדי נתונים אבטחה מדור קודם (cert8.db,
key3.db, ו-secmod.db) ומסדי נתונים חדשים של SQLite (cert9.db, key4.db ו-pkcs11.txt).
אם הקידומת sql: אינו בשימוש, אז הכלי מניח שמסדי הנתונים הנתונים נמצאים ב
הפורמט הישן.
קידומת --dbprefix
ציין את הקידומת שבה נעשה שימוש בקבצי מסד הנתונים, כגון my_ עבור my_cert8.db. זה
האפשרות ניתנת כמקרה מיוחד. שינוי שמות התעודה והמפתח
מסדי נתונים אינם מומלצים.
ספריית ההתקנה הבסיסית -installdir
ציין את ספריית ההתקנה הבסיסית שאליה יותקנו הקבצים
מה היא -קַנקַן אפשרות. ספרייה זו צריכה להיות אחת שמתחתיה ראוי לאחסן
קבצי ספרייה דינמיים, כגון ספריית השורש של השרת.
קובץ ספריית -libfile
ציין נתיב לקובץ ספרייה המכיל את המימוש של PKCS #11
מודול ממשק שנוסף למסד הנתונים.
רשימת מנגנונים
ציין את מנגנוני האבטחה שעבורם מודול מסוים יסומן כ-
ספק ברירת מחדל. ה- רשימת מנגנונים היא רשימה של שמות מנגנונים המופרדים בנקודתיים.
הקף רשימה זו במירכאות אם היא מכילה רווחים.
המודול הופך לספק ברירת מחדל עבור המנגנונים המפורטים כאשר מנגנונים אלה
מופעלים. אם יותר ממודול אחד טוען שהוא ברירת המחדל של מנגנון מסוים
ספק, ספק ברירת המחדל של מנגנון זה אינו מוגדר.
מודול תומך במספר מנגנונים: RSA, DSA, RC2, RC4, RC5, AES, DES, DH, SHA1,
SHA256, SHA512, SSL, TLS, MD5, MD2, RANDOM (לייצור מספרים אקראיים), ו-
ידידותי (כלומר, תעודות קריאות לציבור).
קובץ-סיסמה-חדש
ציין קובץ טקסט המכיל את הסיסמה החדשה או הסיסמה החלופית של אסימון, כך ש-
ניתן להזין את הסיסמה באופן אוטומטי באמצעות -שינוי אוֹפְּצִיָה.
-nocertdb
אל תפתחו את מסדי הנתונים של האישורים או המפתחות. לכך יש מספר השפעות:
· עם ה -לִיצוֹר פקודה, נוצר רק קובץ אבטחת מודול; תעודה ו
מסדי נתונים מרכזיים לא נוצרים.
· עם ה -קַנקַן פקודה, חתימות בקובץ JAR אינן נבדקות.
· עם ה -שינוי פקודה, לא ניתן להגדיר את הסיסמה במודול הפנימי של NSS
או שונתה, מכיוון שסיסמה זו מאוחסנת במסד הנתונים של המפתחות.
קובץ הסיסמה הישן
ציין קובץ טקסט המכיל את הסיסמה הקיימת של אסימון כדי שניתן יהיה ליצור סיסמה
נכנס אוטומטית כאשר -שינוי האפשרות משמשת לשינוי סיסמאות.
-secmod שם secmod
תן את שם מסד הנתונים של מודול האבטחה (כגון secmod.db) שיש לטעון.
שם חריץ -slot
ציין חריץ מסוים שיופעל או יושבת באמצעות -לְאַפשֵׁר or -השבתה
אפשרויות.
מחרוזת CONFIG_STRING
העבירו מחרוזת תצורה עבור המודול שנוסף למסד הנתונים.
ספרייה זמנית -tempdir
תן מיקום ספרייה שבו נוצרים קבצים זמניים במהלך ההתקנה על ידי
מה היא -קַנקַן אפשרות. אם לא צוינה ספרייה זמנית, הספרייה הנוכחית היא
מְשׁוּמָשׁ.
נוהג ו דוגמאות
יוצרים מסד נתונים קבצים
לפני שניתן לבצע פעולות כלשהן, חייבת להיות מערכת של מסדי נתונים אבטחתיים
זמין. מודול ניתן להשתמש בו כדי ליצור קבצים אלה. הארגומנט הנדרש היחיד הוא
מסד נתונים שבו ימוקמו מסדי הנתונים.
modutil -create -dbdir [sql:]ספרייה
מוסיף a קריפטוגרפי מודול
הוספת מודול PKCS #11 פירושה הגשת קובץ ספרייה תומך, הפעלת הצפנים שלו,
וקביעת סטטוס ספק ברירת מחדל עבור מנגנוני אבטחה שונים. ניתן לעשות זאת על ידי
אספקת כל המידע באמצעות מודול ישירות או על ידי הפעלת קובץ JAR ו
סקריפט התקנה. במקרה הבסיסי ביותר, פשוט העלו את הספרייה:
modutil -add modulename -libfile library-file [-ciphers cipher-enable-list] [-mechanisms mechanism-list]
לדוגמה:
modutil -dbdir sql:/home/my/sharednssdb -add "מודול PKCS #11 לדוגמה" -libfile "/tmp/crypto.so" -mechanisms RSA:DSA:RC2:RANDOM
שימוש בספריית מסד הנתונים...
המודול "מודול PKCS #11 לדוגמה" נוסף למסד הנתונים.
התקנה a קריפטוגרפי מודול החל מ- a JAR שלח
ניתן לטעון מודולים של PKCS #11 גם באמצעות קובץ JAR, המכיל את כל הפרטים הנדרשים.
ספריות וסקריפט התקנה המתאר כיצד להתקין את המודול. קובץ ה-JAR
סקריפט ההתקנה מתואר ביתר פירוט בסעיף שנקרא "קובץ התקנת JAR"
פוּרמָט".
סקריפט ההתקנה של JAR מגדיר את פרטי ההתקנה עבור כל פלטפורמה ש...
ניתן להתקין מודול על. לדוגמה:
פלטפורמות {
לינוקס:5.4.08:x86 {
שם המודול { "מודול לדוגמה של PKCS #11" }
קובץ מודול { crypto.so }
דגלי מנגנון ברירת מחדל{0x0000}
דגלי הפעלת הצפנה{0x0000}
קבצים {
קריפטו.אז {
נתיב{ /tmp/crypto.so }
}
הגדרה.sh {
ניתן לבצע
נתיב { /tmp/setup.sh }
}
}
}
לינוקס:6.0.0:x86 {
פלטפורמה מקבילה { לינוקס: 5.4.08: x86 }
}
}
גם סקריפט ההתקנה וגם הספריות הנדרשות חייבים להיות ארוזים בקובץ JAR, שהוא
שצוין עם ה -קַנקַן ויכוח.
modutil -dbdir sql:/home/mt"jar-install-file/sharednssdb -jar install.jar -installdir sql:/home/my/sharednssdb
קובץ JAR להתקנה זה נחתם על ידי:
----------------------------------------------
**שם הנושא**
C=ארה"ב, ST=קליפורניה, L=מאונטיין ויו, CN=Cryptorific Inc., OU=מזהה דיגיטלי
מחלקה 3 - חתימת אובייקטים של Netscape, OU="www.verisign.com/repository/CPS
ארגון לפי אסמכתא, LIAB.LTD(c)9 6", OU=www.verisign.com/CPS ארגון לפי אסמכתא
חברת אחריות בע"מ (c)97 VeriSign, OU=VeriSign Object Signing CA - Class 3
ארגון, OU="VeriSign, Inc.", O=רשת האמון של VeriSign **מנפיק
שם**, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97
VeriSign, OU=VeriSign Object Signing CA - ארגון Class 3,
OU="VeriSign, Inc.", O=רשת האמון של VeriSign
----------------------------------------------
האם ברצונך להמשיך בהתקנה זו? (כן/לא) כן
שימוש בסקריפט ההתקנה "installer_script"
סקריפט ההתקנה מנותח בהצלחה
הפלטפורמה הנוכחית היא לינוקס: 5.4.08:x86
שימוש בפרמטרי התקנה עבור פלטפורמת לינוקס: 5.4.08: x86
התקנת קובץ crypto.so בכתובת /tmp/crypto.so
הקובץ setup.sh הותקן בכתובת ./pk11inst.dir/setup.sh
מבצע את "./pk11inst.dir/setup.sh"...
"./pk11inst.dir/setup.sh" בוצע בהצלחה
התקנתי את המודול "Example PKCS #11 Module" במסד הנתונים של המודולים
ההתקנה הושלמה בהצלחה
מוסיף מודול Spec
לכל מודול יש מידע המאוחסן במסד הנתונים של האבטחה אודות התצורה שלו ו...
פרמטרים. ניתן להוסיף או לערוך אותם באמצעות -רוואד פקודה. עבור הנוכחי
הגדרות או כדי לראות את הפורמט של מפרט המודול במסד הנתונים, השתמש ב- רשימת גלם אוֹפְּצִיָה.
modutil -rawdd מודולפרט
מחיק a מודול
ניתן למחוק מודול PKCS #11 ספציפי ממסד הנתונים secmod.db:
modutil -delete modulename -dbdir [sql:]directory
מציג מודול מֵידָע
מסד הנתונים secmod.db מכיל מידע על מודולי PKCS #11 הזמינים
ליישום או לשרת לשימוש. רשימת כל המודולים, מידע על יישומים ספציפיים
ניתן לצפות במודולים ובמפרטי תצורת מסד הנתונים עבור מודולים.
כדי לקבל רשימה פשוטה של מודולים במסד הנתונים, השתמש ב- -רשימה פקודה.
modutil -list [שם מודול] -dbdir [sql:]ספרייה
רשימת המודולים מציגה את שם המודול, את הסטטוס שלהם ואת כללי האבטחה הקשורים אליהם.
מסדי נתונים עבור אישורים ומפתחות. לדוגמה:
modutil -list -dbdir sql:/home/my/sharednssdb
רשימת מודולי PKCS #11
-------------------------------------------------- ---------
1. מודול PKCS פנימי #11 של NSS
חריצים: 2 חריצים מחוברים
מצב: נטען
משבצת: שירותי קריפטוגרפיים פנימיים של NSS
אסימון: שירותי קריפטו כלליים של NSS
חריץ: שירותי מפתח פרטי ואישורים של משתמש NSS
אסימון: NSS Certificate DB
-------------------------------------------------- ---------
העברת שם מודול ספציפי עם -רשימה מחזיר מידע מפורט על המודול
עצמו, כמו מנגנוני הצפנה נתמכים, מספרי גרסה, מספרים סידוריים ועוד
מידע על המודול והטוקן עליו הוא נטען. לדוגמה:
modutil -list "מודול PKCS פנימי #11 של NSS" -dbdir sql:/home/my/sharednssdb
-------------------------------------------------- ---------
שם: מודול PKCS פנימי #11 של NSS
קובץ ספרייה: **מודול פנימי בלבד**
יצרן: קרן מוזילה
תיאור: שירותי קריפטו פנימיים של NSS
PKCS #11 גרסה 2.20
גרסת ספרייה: 3.11
דגלי הפעלת צופן: אין
דגלי מנגנון ברירת מחדל: RSA:RC2:RC4:DES:DH:SHA1:MD5:MD2:SSL:TLS:AES
חריץ: שירותי קריפטוגרפיה פנימיים של NSS
דגלי מנגנון חריץ: RSA:RC2:RC4:DES:DH:SHA1:MD5:MD2:SSL:TLS:AES
יצרן: קרן מוזילה
סוג: תוכנה
מספר גרסה: 3.11
גרסת קושחה: 0.0
סטטוס: מופעל
שם אסימון: שירותי קריפטו גנריים של NSS
יצרן האסימונים: קרן מוזילה
דגם אסימון: NSS 3
מספר סידורי של אסימון: 0000000000000000
גרסת אסימון: 4.0
גרסת קושחת אסימון: 0.0
גישה: מוגן מפני כתיבה
סוג כניסה: ציבורי (אין צורך בכניסה)
קוד סודי של משתמש: לא אותחל
חריץ: מפתח פרטי של משתמש NSS ושירותי תעודה
דגלי מנגנון חריץ: אין
יצרן: קרן מוזילה
סוג: תוכנה
מספר גרסה: 3.11
גרסת קושחה: 0.0
סטטוס: מופעל
שם אסימון: מסד נתונים של תעודות NSS
יצרן האסימונים: קרן מוזילה
דגם אסימון: NSS 3
מספר סידורי של אסימון: 0000000000000000
גרסת אסימון: 8.3
גרסת קושחת אסימון: 0.0
גישה: לא מוגנת מפני כתיבה
סוג כניסה: נדרשת כניסה
קוד סודי של משתמש: אותחל
פקודה קשורה, רשימת גלם מחזיר מידע על תצורת מסד הנתונים עבור
מודולים. (ניתן לערוך מידע זה על ידי טעינת מפרטים חדשים באמצעות -רוואד פקודה.)
modutil -rawlist -dbdir sql:/home/my/sharednssdb
שם="מודול PKCS פנימי של NSS #11" פרמטרים="configdir=.certPrefix= keyPrefix= secmod=secmod.db דגלים=קריאה בלבד" NSS="סדר_trust=75 סדר_הצפנה=100 פרמטרי_slot={0x00000001=[דגלי_slot=RSA,RC4,RC2,DES,DH,SHA1,MD5,MD2,SSL,TLS,AES,אקראי askpw=כל פסק זמן=30] } דגלים=פנימי,קריטי"
הגדרת a בְּרִירַת מֶחדָל ספק ל אבטחה מנגנונים
מודולי אבטחה מרובים עשויים לספק תמיכה באותם מנגנוני אבטחה. זהו
ניתן להגדיר מודול אבטחה ספציפי כספק ברירת מחדל עבור אבטחה ספציפית
מנגנון (או, לחלופין, לאסור על ספק לספק מנגנונים אלה).
modutil - שם מודול ברירת מחדל - מנגנונים רשימת מנגנונים
כדי להגדיר מודול כספק ברירת מחדל עבור מנגנונים, השתמש ב- תקלה פקודה עם א
רשימת מנגנונים מופרדת בנקודתיים. המנגנונים הזמינים תלויים במודול; NSS
מספק כמעט את כל המנגנונים הנפוצים. לדוגמה:
modutil -default "מודול PKCS פנימי #11 של NSS" -dbdir -mechanisms RSA:DSA:RC2
שימוש בספריית מסד הנתונים c:\databases...
הגדרות ברירת המחדל שונו בהצלחה.
ניקוי ספק ברירת המחדל הוא באותו פורמט:
modutil -undefault "מודול PKCS פנימי #11 של NSS" -dbdir -mechanisms MD2:MD5
מפעיל ו משבית מודולים ו חריצים
ניתן להפעיל או להשבית מודולים, וחריצים ספציפיים על מודולים, באופן סלקטיבי באמצעות
מודוללשתי הפקודות יש את אותו הפורמט:
modutil -enable|-disable שם מודול [-slot חריץ שם]
לדוגמה:
modutil -enable "מודול PKCS פנימי #11 של NSS" -slot "שירותי קריפטוגרפיה פנימיים של NSS" -dbdir.
חריץ "שירותי קריפטוגרפיה פנימיים של NSS" מופעל.
ודא שכמות הרווחים הלבנים המתאימה נמצאת אחרי שם המשבצת.
שמות משבצות מכילים כמות משמעותית של רווח לבן שחייב להיכלל, או שהפעולה
ייכשל.
מפעיל ו מאמת FIPS מענה לארועים
ניתן להפעיל או להשבית תאימות FIPS 140-2 במודולי NSS באמצעות מודול עם
-פיפס אוֹפְּצִיָה. לדוגמה:
modutil -fips true -dbdir sql:/home/my/sharednssdb/
מצב FIPS מופעל.
כדי לאמת את מצב מצב FIPS, הפעל את -chkfips פקודה עם אמת או שקר
דגל (לא משנה איזה). הכלי מחזיר את הגדרת ה-FIPS הנוכחית.
modutil -chkfips false -dbdir sql:/home/my/sharednssdb/
מצב FIPS מופעל.
משתנה מה היא סיסמה on a אסימון
אתחול או שינוי סיסמת אסימון:
modutil -changepw tokenname [-pwfile קובץ סיסמה ישנה] [-newpwfile קובץ סיסמה חדשה]
modutil -dbdir sql:/home/my/sharednssdb -changepw "מסד נתונים של אישורי NSS"
הזן סיסמה ישנה:
סיסמה שגויה, נסה שוב...
הזן סיסמה ישנה:
הכנס סיסמה חדשה:
הזן סיסמה חדשה:
סיסמת האסימון "Communicator Certificate database" שונתה בהצלחה.
JAR התקנה קובץ פורמט
כאשר קובץ JAR מופעל על ידי שרת, על ידי מודול, או על ידי כל תוכנית שאינה מפרשת
JavaScript, יש לכלול קובץ מידע מיוחד כדי להתקין את הספריות.
ישנם מספר דברים שכדאי לזכור בנוגע לקובץ זה:
· יש להצהיר עליו בקובץ המניפסט של ארכיון ה-JAR.
· לסקריפט יכול להיות כל שם שהוא.
· תגית המטא-אינפו עבור זה היא Pkcs11_install_scriptלהצהיר על מטא-מידע ב
קובץ מניפסט, שים אותו בקובץ שמועבר אל כלי שלטים.
מדגם תסריט
לדוגמה, סקריפט ההתקנה של PKCS #11 יכול להיות בקובץ pk11install. אם כן, ה-
קובץ metainfo עבור כלי שלטים כולל שורה כזו:
+ Pkcs11_install_script: pk11install
הסקריפט חייב להגדיר את הפלטפורמה ומספר הגרסה, שם המודול והקובץ, וכל
מידע אופציונלי כמו צפנים ומנגנונים נתמכים. ניתן להשתמש בפלטפורמות מרובות
מוגדר בקובץ התקנה יחיד.
תואם קדימה { IRIX:6.2:mips SUNOS:5.5.1:sparc }
פלטפורמות {
רווח::x86 {
שם המודול { "מודול לדוגמה" }
קובץ מודול { win32/fort32.dll }
דגלי מנגנון ברירת מחדל{0x0001}
דגלי צופן ברירת מחדל{0x0001}
קבצים {
win32/setup.exe {
ניתן לבצע
נתיב יחסי { %temp%/setup.exe }
}
win32/setup.hlp {
נתיב יחסי { %temp%/setup.hlp }
}
win32/setup.cab {
נתיב יחסי { %temp%/setup.cab }
}
}
}
WIN95::x86 {
EquivalentPlatform {WINNT::x86}
}
SUNOS:5.5.1:sparc {
שם המודול { "מודול יוניקס לדוגמה" }
קובץ מודול { unix/fort.so }
דגלי מנגנון ברירת מחדל{0x0001}
דגלי הפעלת הצפנה{0x0001}
קבצים {
יוניקס/פורט.אז {
נתיב יחסי{%root%/lib/fort.so}
AbsolutePath{/usr/local/netscape/lib/fort.so}
הרשאות קבצים{555}
}
xplat/instr.html {
נתיב יחסי{%root%/docs/inst.html}
AbsolutePath{/usr/local/netscape/docs/inst.html}
הרשאות קבצים{555}
}
}
}
IRIX:6.2:mips {
פלטפורמה מקבילה { SUNOS:5.5.1:sparc }
}
}
תסריט דקדוק
הסקריפט הוא ג'אווה בסיסית, המאפשרת רשימות, זוגות מפתח-ערך, מחרוזות ושילובים של
כולם.
--> רשימת ערכים
רשימת ערכים --> רשימת ערכים של ערך
ערך ---> זוג_ערכי_מפתח
מחרוזת
זוג_ערכי_מפתחות --> מפתח { רשימת_ערכים }
מפתח --> מחרוזת
מחרוזת --> מחרוזת_פשוטה
מחרוזת_מורכבת
מחרוזת_פשוטה --> [^ \t\n\""{""}"]+
מחרוזת_מורכבת --> ([^\"\\\r\n]|(\\\")|(\\\\))+
יש להשתמש בקו נטוי הפוך בין מרכאות ולוכסנים. מחרוזת מורכבת לא יכולה לכלול
שורות חדשות או החזרות גררה. מחוץ למחרוזות מורכבות, כל הרווחים הלבנים (לדוגמה,
רווחים, טאבים והחזרות גררה) נחשבים שווים ומשמשים רק להפרדה
אסימונים.
מפתחות
קובץ ההתקנה של Java משתמש במפתחות כדי להגדיר את פרטי הפלטפורמה והמודול.
תואם קדימה נותן רשימה של פלטפורמות התואמות קדימה. אם הנוכחי
אם הפלטפורמה לא נמצאת ברשימת הפלטפורמות הנתמכות, אז ה- תואם קדימה
הרשימה נבדקת עבור פלטפורמות בעלות אותה מערכת הפעלה וארכיטקטורה בגרסה קודמת
גרסה. אם נמצאה גרסה כזו, המאפיינים שלה משמשים עבור הפלטפורמה הנוכחית.
פלטפורמות (נדרש) נותן רשימה של פלטפורמות. כל ערך ברשימה הוא בעצמו
זוג מפתח-ערך: המפתח הוא שם הפלטפורמה ורשימת הערכים מכילה מגוון ערכים
מאפייני הפלטפורמה. מחרוזת הפלטפורמה היא בפורמט מערכת שם: מערכת הפעלה
גרסה: ארכיטקטורההמתקין מקבל ערכים אלה מ-NSPR. גרסת מערכת ההפעלה ריקה.
מחרוזת במערכות הפעלה שאינן יוניקס. NSPR תומך בפלטפורמות הבאות:
· AIX (6000 רופי)
· BSDI (x86)
· FREEBSD (x86)
· HPUX (hppa1.1)
· IRIX (מיפס)
לינוקס (ppc, alpha, x86)
· מערכת הפעלה MacOS (PowerPC)
· NCR (x86)
· NEC (mips)
מערכת הפעלה 2 (x86)
· OSF (אלפא)
· ReliantUNIX (mips)
· קוד מכירה (x86)
· סולאריס (sparc)
· סוני (mips)
· SUNOS (sparc)
יוניקסוור (x86)
· מערכת הפעלה Windows 16 (x86)
· מערכת הפעלה Windows 95 (x86)
· רווח (x86)
לדוגמה:
IRIX:6.2:mips
SUNOS:5.5.1:sparc
לינוקס: 2.0.32:x86
WIN95::x86
מידע המודול מוגדר באופן עצמאי עבור כל פלטפורמה ב- שם מודול,
קובץ מודול, ו קבצים תכונות. יש לתת תכונות אלה אלא אם כן
פלטפורמה שווה ערך המאפיין צוין.
לכל פלטפורמה מפתחות
למפתחות לפי פלטפורמה יש משמעות רק בתוך רשימת הערכים של ערך ב- פלטפורמות
רשימה.
שם מודול (נדרש) מציג את השם הנפוץ של המודול. שם זה משמש להפניה
המודול על ידי שרתים ועל ידי מודול כלי.
קובץ מודול (נדרש) שם קובץ המודול PKCS #11 עבור פלטפורמה זו. השם ניתן
כנתיב יחסי של הקובץ בתוך ארכיון ה-JAR.
קבצים (נדרש) מפרט את הקבצים שיש להתקין עבור מודול זה. כל ערך ב
רשימת הקבצים היא זוג מפתח-ערך. המפתח הוא הנתיב של הקובץ בארכיון JAR, ו
רשימת הערכים מכילה תכונות של הקובץ. לפחות נתיב יחסי or נתיב מוחלט צריך
יצוין עבור כל קובץ.
מנגנון ברירת מחדלדגלים מציין מנגנונים שעבורם מודול זה הוא ספק ברירת המחדל;
זה שווה ערך ל- -מַנגָנוֹן אפשרות עם -לְהוֹסִיף פקודה. זוג מפתח-ערך זה הוא
מחרוזת סיביות המצוינת בפורמט הקסדצימלי (0x). היא בנויה כ-OR לפי סיביות. אם
אם הערך DefaultMechanismFlags מושמט, הערך מוגדר כברירת מחדל ל-0x0.
RSA: 0x00000001
DSA: 0x00000002
RC2: 0x00000004
RC4: 0x00000008
DES: 0x00000010
DH: 0x00000020
פורטזה: 0x00000040
RC5: 0x00000080
SHA1: 0x00000100
MD5: 0x00000200
MD2: 0x00000400
אקראי: 0x08000000
ידידותי: 0x10000000
OWN_PW_DEFAULTS: 0x20000000
השבתה: 0x40000000
דגלי הפעלת צופן מציין צפנים שמודול זה מספק, ש-NSS אינו מספק
(כך שהמודול יאפשר את הצפנים הללו עבור NSS). זה שווה ערך ל- -צוֹפֶן
ויכוח עם ה -לְהוֹסִיף פקודה. מפתח זה הוא מחרוזת סיביות המצוינת בהקסדצימלי (0x)
פורמט. הוא בנוי כ-OR לפי סיביות. אם ה- דגלי הפעלת צופן הערך מושמט, ה-
הערך מוגדר כברירת מחדל ל-0x0.
פלטפורמה שווה ערך מציין שיש להשתמש גם בתכונות של הפלטפורמה בעלת השם
עבור הפלטפורמה הנוכחית. זה מקל על השימוש בו כאשר יותר מפלטפורמה אחת משתמשת באותו
הגדרות.
לכל קובץ מפתחות
לחלק מהמפתחות יש משמעות רק בתוך רשימת הערכים של ערך ב... קבצים רשימה.
כל קובץ דורש מפתח נתיב שמזהה את מיקום הקובץ. נתיב יחסי or
נתיב מוחלט יש לציין. אם שניהם מצוינים, ננסה תחילה את הנתיב היחסי,
והנתיב המוחלט משמש רק אם לא מסופקת ספריית שורש יחסית על ידי
תוכנית התקנה.
נתיב יחסי מציין את ספריית היעד של הקובץ, יחסית לספרייה כלשהי
נקבע בזמן ההתקנה. ניתן להשתמש בשני משתנים בנתיב היחסי: %שׁוֹרֶשׁ% ו
% Temp%. %שׁוֹרֶשׁ% מוחלף בזמן ריצה בספרייה שאליה אמורים להיות קבצים
להיות מותקן; לדוגמה, ייתכן שזו ספריית השורש של השרת. ה- % Temp% הספרייה היא
נוצר בתחילת ההתקנה ונהרס בסופה. מטרת
% Temp% נועד להכיל קבצי הפעלה (כגון תוכניות התקנה) או קבצים המשמשים את
תוכניות אלה. קבצים המיועדים לספרייה הזמנית מובטחים להיות במקומם
לפני הפעלת קובץ הרצה כלשהו; הם לא נמחקים עד שכל קבצי ההפעלה נמחקו
סיים.
נתיב מוחלט מציין את ספריית היעד של הקובץ כנתיב מוחלט.
ניתן לבצע מציין שהקובץ יבוצע במהלך ה-
התקנה. בדרך כלל, מחרוזת זו משמשת עבור תוכנית התקנה המסופקת על ידי מודול
ספק, כגון קובץ הרצה של התקנה לחילוץ עצמי. ניתן לציין יותר מקובץ אחד כ
קובץ הרצה, ובמקרה כזה הקבצים ירוצו בסדר שבו הם צוינו ב
קובץ הסקריפט.
FilePermissions קובע הרשאות על כל קובץ שאליו מפנה מחרוזת של ספרות אוקטליות,
לפי הפורמט הסטנדרטי של יוניקס. מחרוזת זו היא OR ברמת סיביות.
קריאה של המשתמש: 0400
כתיבת משתמש: 0200
ביצוע משתמש: 0100
קריאה קבוצתית: 0040
כתיבה קבוצתית: 0020
ביצוע קבוצתי: 0010
קריאה אחרת: 0004
כתיבה אחרת: 0002
ביצוע אחר: 0001
ייתכן שחלק מהפלטפורמות לא יבינו את ההרשאות הללו. הן מוחלות רק במידה שהן
הגיוני לפלטפורמה הנוכחית. אם תכונה זו מושמטת, ברירת המחדל היא 777
הניח.
NSS מאגר מידע סוגי
NSS השתמש במקור בבסיסי נתונים של BerkeleyDB כדי לאחסן מידע אבטחה. הגרסאות האחרונות
של אלה מורשה מסדי נתונים הם:
· cert8.db לתעודות
· key3.db למפתחות
· secmod.db למידע על מודול PKCS #11
עם זאת, ל-BerkeleyDB יש מגבלות ביצועים שמונעות ממנו להשתמש בקלות על ידי
מספר יישומים בו זמנית. ל-NSS יש גמישות מסוימת המאפשרת ליישומים
להשתמש במנוע מסד נתונים עצמאי משלהם תוך שמירה על מסד נתונים משותף ועבודה
סביב בעיות הגישה. ובכל זאת, NSS דורש יותר גמישות כדי לספק משותף באמת
מסד נתונים אבטחה.
בשנת 2009, NSS הציגה קבוצה חדשה של מסדי נתונים שהם מסדי נתונים של SQLite ולא
BerkleyDB. מסדי נתונים חדשים אלה מספקים יותר נגישות וביצועים:
· cert9.db לתעודות
· key4.db למפתחות
· pkcs11.txt, שהוא רשימה של כל המודולים של PKCS #11 הכלולים בגרסה חדשה
ספריית משנה בספריית מסדי הנתונים האבטחה
מכיוון שמסדי הנתונים של SQLite נועדו להיות משותפים, אלה הם משותף מסד נתונים
סוּג. סוג מסד הנתונים המשותף עדיף; הפורמט הישן כלול עבור אחורה
תאימות.
כברירת מחדל, הכלים (certutil, pk12util, מודול) נניח שהביטחון הנתון
מסדי נתונים עוקבים אחר הסוג המסורתי הנפוץ יותר. השימוש בבסיסי הנתונים של SQLite חייב להיות ידני
שצוין באמצעות ה- sql: קידומת עם ספריית האבטחה הנתונה. לדוגמה:
modutil -create -dbdir sql:/home/my/sharednssdb
כדי להגדיר את סוג מסד הנתונים המשותף כסוג ברירת המחדל עבור הכלים, הגדר את
NSS_DEFAULT_DB_TYPE משתנה הסביבה ל- SQL:
ייצא NSS_DEFAULT_DB_TYPE="sql"
ניתן להוסיף שורה זו ל- ~ / .bashrc קובץ כדי להפוך את השינוי לצמיתות עבור המשתמש.
רוב היישומים אינם משתמשים במסד הנתונים המשותף כברירת מחדל, אך ניתן להגדיר אותם כך
להשתמש בהם. לדוגמה, מאמר זה מכסה כיצד להגדיר את Firefox ו-Thunderbird
כדי להשתמש במסדי הנתונים המשותפים החדשים של NSS:
· https://wiki.mozilla.org/NSS_Shared_DB_Howto
לטיוטה הנדסית על השינויים במסדי הנתונים המשותפים של NSS, ראה פרויקט NSS
ויקי:
· https://wiki.mozilla.org/NSS_Shared_DB
השתמש ב-modutil באופן מקוון באמצעות שירותי onworks.net
