Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
2.11.5. opencryptoki 키 저장소 변경
이전 버전의 Red Hat Enterprise Linux 사용 opencryptoki 하드웨어에서 보안 키로 암호화된 개인 토큰 오브젝트를 암호화하는 키 저장소 버전 2입니다. Red Hat Enterprise Linux 7은 소프트웨어에서 명확한 키로 개인 토큰 오브젝트를 암호화하는 버전 3을 사용합니다. 즉 버전 2에서 생성한 개인 토큰 오브젝트를 버전 3과 함께 사용하려면 먼저 마이그레이션해야 합니다.
개인 토큰 오브젝트를 마이그레이션하려면 다음 절차를 수행합니다.
소프트웨어 업데이트 Ensure your version of opencryptoki 최신 상태입니다.
# yum update -y opencryptoki
토큰의 슬롯 번호를 확인하려면
pkcsconf
를 사용하여 토큰의 슬롯 번호를 확인합니다. root로 다음 명령을 실행합니다.# pkcsconf -s # pkcsconf -t
토큰의 슬롯 번호를 기록해 둡니다. 슬롯 설명은
(CCA)
로 끝납니다. 정보 필드는 토큰을IBM CCA 토큰
으로 식별합니다.인터페이스 액세스를 중지하면
pkcsslotd
서비스 및opencryptoki
프로세스를 중지합니다.# systemctl stop pkcsslotd.service
다음 명령을 사용하여
kill
유틸리티로 중지되는 프로세스를 확인한 다음 적절한 프로세스를 종료합니다.# ps ax | grep pkcsslotd
마이그레이션하기 전에 데이터 저장소를 백업하고, CCA 데이터 저장소(토큰이 저장된 디렉토리(일반적으로
/var/lib/opencryptoki/ccatok
)를 백업합니다. 예를 들어 디렉터리의 사본을 만듭니다.# cp -r /var/lib/opencryptoki/ccatok /var/lib/opencryptoki/ccatok.backup
마이그레이션 유틸리티
/var/lib/opencryptoki/ccatoki/ccatok
디렉터리로 변경하고 migration 유틸리티를 실행합니다.# cd /var/lib/opencryptoki/ccatok # pkcscca -m v2objectsv3 -v
메시지가 표시되면 SO(Security Officer) PIN 및 사용자 PIN을 제공하십시오.
오래된 공유 메모리 파일을 제거하면
/dev/shm/var.lib.opencryptoki.ccatok
파일을 수동으로 제거하거나 시스템을 재부팅합니다.# rm /dev/shm/var.lib.opencryptoki.ccatok
운영 인터페이스로 돌아가서
pkcsslotd
서비스를 다시 시작합니다.# systemctl start pkcsslotd.service
마이그레이션에 문제가 발생하면 다음을 확인하십시오.
-
root로 명령을 실행하고 있고 root가
pkcs11
그룹의 멤버인지 확인합니다. -
pkcsconf
유틸리티가/usr/lib/pkcs11/methods/
디렉터리 또는/usr/sbin/
디렉터리에 있는지 확인합니다. -
토큰 데이터 저장소가
/var/lib/opencryptoki/ccatok/
디렉터리에 있는지 확인합니다. - 슬롯 번호를 입력했는지 확인하고 슬롯 번호가 올바른지 확인합니다.
- SO(Security Officer) PIN 및 사용자 PIN이 올바른지 확인합니다.
- 현재 디렉터리에 대한 쓰기 권한이 있는지 확인합니다.