Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.11.5. opencryptoki キーストアの変更

以前のバージョンの Red Hat Enterprise Linux は、opencryptoki 鍵ストアのバージョン 2 を使用していました。このバージョンでは、ハードウェアでセキュアキーを使用して、プライベートトークンを暗号化していました。Red Hat Enterprise Linux 7 では、ソフトウェアのクリアキーでプライベートトークンオブジェクトを暗号化するバージョン 3 が使用されます。したがって、バージョン 2 で作成したプライベートのトークンオブジェクトをバージョン 3 で使用するには、最初にバージョン 2 で作成したトークンオブジェクトを移行する必要があります。

プライベートトークンオブジェクトを移行するには、以下の手順を実行します。

  1. opencryptoki のバージョンが最新であることを確認します。

    # yum update -y opencryptoki
  2. トークンのスロット数を確認するには、pkcsconf でトークンのスロット数を調べます。以下のコマンドを root 権限で実行します。

    # pkcsconf -s
    # pkcsconf -t

    トークンのスロット番号に注意してください。スロットの説明は (CCA) で終わります。情報フィールドは、このトークンを IBM CCA トークンとして識別します。

  3. インターフェースへのアクセスを停止するには、pkcsslotd サービスおよびすべての opencryptoki プロセスを停止します。

    # systemctl stop pkcsslotd.service

    以下のコマンドを実行して kill ユーティリティーを停止するプロセスを特定し、適切なプロセスを終了します。

    # ps ax | grep pkcsslotd
  4. 移行前に、CCA データストア (トークンが保存されているディレクトリー、通常は /var/lib/opencryptoki/ccatok) のバックアップを取得します。たとえば、このファイルのコピーを作成します。

    # cp -r /var/lib/opencryptoki/ccatok /var/lib/opencryptoki/ccatok.backup
  5. 移行ユーティリティーを実行し、/var/lib/opencryptoki/ccatok ディレクトリーに変更し、移行ユーティリティーを実行します。

    # cd /var/lib/opencryptoki/ccatok
    # pkcscca -m v2objectsv3 -v

    要求されたら、セキュリティーオフィサー (SO) PIN とユーザー PIN を入力します。

  6. 古い共有メモリーファイルを削除すると、手動で /dev/shm/var.lib.opencryptoki.ccatok ファイルを削除するか、システムを再起動します。

    # rm /dev/shm/var.lib.opencryptoki.ccatok
  7. 操作インターフェースアクセスに戻ります。再度、pkcsslotd サービスを起動します。

    # systemctl start pkcsslotd.service

移行の際に問題が発生した場合は、以下を確認してください。

  • コマンドを root で実行しており、root が pkcs11 グループのメンバーになっていること。
  • pkcsconf ユーティリティーが /usr/lib/pkcs11/methods/ ディレクトリーまたは /usr/sbin/ ディレクトリーのいずれかにあること。
  • トークンのデータストアが /var/lib/opencryptoki/ccatok/ ディレクトリーにあること。
  • スロット番号が指定されており、その番号が正しいこと。
  • セキュリティーオフィス (SO) PIN およびユーザー PIN が正しいことを確認します。
  • カレントディレクトリーに書き込み権限があること。