第 14 章 密钥管理器(barbican)参数

您可以使用密钥管理器参数修改 barbican 服务。

参数描述

ApacheCertificateKeySize

覆盖为这个服务创建证书时使用的私钥大小。

ApacheTimeout

Apache 的超时时间(以秒为单位),定义 Apache 等待 I/O 操作的持续时间(以秒为单位)。默认值为 90

ATOSVars

用于安装 ATOS 客户端软件的 atos-hsm 角色变量的哈希。

BarbicanDogtagStoreGlobalDefault

此插件是全局默认插件。默认值为 false

BarbicanDogtagStoreHost

Dogtag 服务器的主机名。

BarbicanDogtagStoreNSSPassword

NSS 数据库的密码。

BarbicanDogtagStorePEMPath

用于验证请求的 PEM 文件的路径。默认值为 /etc/barbican/kra_admin_cert.pem

BarbicanDogtagStorePort

Dogtag 服务器的端口。默认值为 8443

BarbicanKmipStoreGlobalDefault

此插件是全局默认插件。默认值为 false

BarbicanKmipStoreHost

KMIP 设备的主机。

BarbicanKmipStorePassword

连接到 KMIP 设备的密码。

BarbicanKmipStorePort

KMIP 设备的端口。

BarbicanKmipStoreUsername

要连接到 KMIP 设备的用户名。

BarbicanPassword

OpenStack Key Manager(barbican)服务帐户的密码。

BarbicanPkcs11AlwaysSetCkaSensitive

始终设置 CKA_SENSITIVE=CK_TRUE。默认值为 true

BarbicanPkcs11CryptoAESGCMGenerateIV

为 CKM_AES_GCM 加密机制生成 IV。默认值为 true

BarbicanPkcs11CryptoATOSEnabled

为 PKCS11 启用 ATOS。默认值为 false

BarbicanPkcs11CryptoEnabled

启用 PKCS11。默认值为 false

BarbicanPkcs11CryptoEncryptionMechanism

用于加密的 Cryptoki Mechanism。默认值为 CKM_AES_CBC

BarbicanPkcs11CryptoGlobalDefault

此插件是全局默认插件。默认值为 false

BarbicanPkcs11CryptoHMACKeygenMechanism

Cryptoki Mechanism 用于生成 Master HMAC 密钥。默认值为 CKM_AES_KEY_GEN

BarbicanPkcs11CryptoHMACKeyType

Cryptoki Key Type for Master HMAC 键。默认值为 CKK_AES

BarbicanPkcs11CryptoHMACLabel

HMAC 密钥的标签。

BarbicanPkcs11CryptoLibraryPath

vendor PKCS11 库的路径。

BarbicanPkcs11CryptoLogin

password(PIN)以登录 PKCS#11 会话。

BarbicanPkcs11CryptoLunasaEnabled

为 PKCS11 启用 Luna SA HSM。默认值为 false

BarbicanPkcs11CryptoMKEKLabel

Master KEK 的标签。

BarbicanPkcs11CryptoMKEKLength

主 KEK 的长度(以字节为单位)。默认值为 256

BarbicanPkcs11CryptoOsLockingOk

在初始化客户端库时,设置 CKF_OS_LOCKING_OK 标志。默认值为 false

BarbicanPkcs11CryptoRewrapKeys

Cryptoki Mechanism 用于生成 Master HMAC 密钥。默认值为 false

BarbicanPkcs11CryptoSlotId

要使用的 PKCS#11 令牌的插槽。默认值为 0

BarbicanPkcs11CryptoThalesEnabled

为 PKCS11 启用 Thales。默认值为 false

BarbicanPkcs11CryptoTokenLabel

(DEPRECATED)使用 BarbicanPkcs11CryptoTokenLabels 替代。

BarbicanPkcs11CryptoTokenLabels

要使用令牌的逗号分隔标签列表。这通常是一个标签,但有些设备可能需要多个标签来负载平衡和高可用性配置。

BarbicanPkcs11CryptoTokenSerialNumber

要使用的 PKCS#11 令牌的序列号。

BarbicanSimpleCryptoGlobalDefault

此插件是全局默认插件。默认值为 false

BarbicanSimpleCryptoKek

KEK 用于加密 secret。

BarbicanWorkers

设置 barbican::wsgi::apache 的 worker 数量。默认值为 %{::processorcount}

CertificateKeySize

指定创建证书时使用的私钥大小。默认值为 2048

EnableSQLAlchemyCollectd

设置为 true 以启用 SQLAlchemy-collectd 服务器插件。默认值为 false

LunasaClientIPNetwork

(可选)当设置 OpenStack Key Manager(barbican)节点时,将使用来自此网络的 IP 来注册到 HSMs,而不是 FQDN。

LunasaVars

用于安装 Lunasa 客户端软件的 lunasa-hsm 角色变量的哈希。

MemcacheUseAdvancedPool

使用 advanced(eventlet safe)memcached 客户端池。默认值为 true

NotificationDriver

处理发送通知的驱动程序或驱动程序。默认值为 noop

ThalesHSMNetworkName

HSM 正在侦听的网络。默认值为 internal_api

ThalesVars

用于安装 Thales 客户端软件的 thales_hsm 角色变量的哈希值。