Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.11.5. opencryptoki 키 저장소 변경

이전 버전의 Red Hat Enterprise Linux 사용 opencryptoki 하드웨어에서 보안 키로 암호화된 개인 토큰 오브젝트를 암호화하는 키 저장소 버전 2입니다. Red Hat Enterprise Linux 7은 소프트웨어에서 명확한 키로 개인 토큰 오브젝트를 암호화하는 버전 3을 사용합니다. 즉 버전 2에서 생성한 개인 토큰 오브젝트를 버전 3과 함께 사용하려면 먼저 마이그레이션해야 합니다.

개인 토큰 오브젝트를 마이그레이션하려면 다음 절차를 수행합니다.

  1. 소프트웨어 업데이트 Ensure your version of opencryptoki 최신 상태입니다. 

    # yum update -y opencryptoki

  2. 토큰의 슬롯 번호를 확인하려면 pkcsconf 를 사용하여 토큰의 슬롯 번호를 확인합니다. root로 다음 명령을 실행합니다. 

    # pkcsconf -s
# pkcsconf -t

    토큰의 슬롯 번호를 기록해 둡니다. 슬롯 설명은 (CCA) 로 끝납니다. 정보 필드는 토큰을 IBM CCA 토큰 으로 식별합니다.

  3. 인터페이스 액세스를 중지하면 pkcsslotd 서비스 및 opencryptoki 프로세스를 중지합니다. 

    # systemctl stop pkcsslotd.service

    다음 명령을 사용하여 kill 유틸리티로 중지되는 프로세스를 확인한 다음 적절한 프로세스를 종료합니다. 

    # ps ax | grep pkcsslotd

  4. 마이그레이션하기 전에 데이터 저장소를 백업하고, CCA 데이터 저장소(토큰이 저장된 디렉토리(일반적으로 /var/lib/opencryptoki/ccatok)를 백업합니다. 예를 들어 디렉터리의 사본을 만듭니다. 

    # cp -r /var/lib/opencryptoki/ccatok /var/lib/opencryptoki/ccatok.backup

  5. 마이그레이션 유틸리티 /var/lib/opencryptoki/ccatoki/ccatok 디렉터리로 변경하고 migration 유틸리티를 실행합니다. 

    # cd /var/lib/opencryptoki/ccatok
# pkcscca -m v2objectsv3 -v

    메시지가 표시되면 SO(Security Officer) PIN 및 사용자 PIN을 제공하십시오.

  6. 오래된 공유 메모리 파일을 제거하면 /dev/shm/var.lib.opencryptoki.ccatok 파일을 수동으로 제거하거나 시스템을 재부팅합니다. 

    # rm /dev/shm/var.lib.opencryptoki.ccatok

  7. 운영 인터페이스로 돌아가서 pkcsslotd 서비스를 다시 시작합니다. 

    # systemctl start pkcsslotd.service

마이그레이션에 문제가 발생하면 다음을 확인하십시오.

  • root로 명령을 실행하고 있고 root가 pkcs11 그룹의 멤버인지 확인합니다.
  • pkcsconf 유틸리티가 /usr/lib/pkcs11/methods/ 디렉터리 또는 /usr/sbin/ 디렉터리에 있는지 확인합니다.
  • 토큰 데이터 저장소가 /var/lib/opencryptoki/ccatok/ 디렉터리에 있는지 확인합니다.
  • 슬롯 번호를 입력했는지 확인하고 슬롯 번호가 올바른지 확인합니다.
  • SO(Security Officer) PIN 및 사용자 PIN이 올바른지 확인합니다.
  • 현재 디렉터리에 대한 쓰기 권한이 있는지 확인합니다.