Batch-Befehle

Batch-Befehle stellen den Befehlszeilenzugriff auf die PKCS- #11 -Tools zur Verfügung.

Die folgenden Batch-Befehle sind im PKCS #11 Key Management Tool (p11km) verfügbar.

Verfügbare PKCS- #11 -Token auflisten

Generiert einen Bericht und zeigt Token-und Steckplatzinformationen für die verfügbaren PKCS- #11 -Token an.

Erforderliche Attribute

action_name = “LIST_TOKENS”

Optionale Attribute

start_gui = “<boolean>”

Dabei ist <boolescher Wert> entwederTRUE oder FALSE .

Beispiel

[p11km_cmd_list_tokens]
action_name = “LIST_TOKENS”

Verfügbare PKCS-#11 -Mechanismen auflisten

Generiert einen Bericht und zeigt verfügbare PKCS- #11 -Mechanismen an, die von einem bestimmten PKCS- #11 -Token unterstützt werden (angepasst durch die Angabe der Werte für den Treiber und den Slot-Attribut).

Erforderliche Attribute

action_name = “LIST_MECHANISMS”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Dabei ist <Schlitznummer> ein positiver ganzzahliger Wert, und <Treibername> ist einer der folgenden Werte:

Wert	Beschreibung
AIX®	AIX OS-Kryptografie-Framework
IBM_4758_4960	IBM® 4758/4960 Verschlüsselungshardwareadapter
IBM_4764	IBM 4764 Kryptografischer Hardware-Adapter
Sonstige	Wenn Sie OTHER angeben, müssen Sie auch das Attribut p11_driver_path angeben.

Optionale Attribute

start_gui = “<boolean>”

Ergänzende Attribute

p11_driver_path = “<path to PKCS#11 driver>”

Dabei ist <Pfad zu PKCS#11 Treiber> der vollständige UNIX-Pfad und -Dateiname der PKCS #11 -Bibliothek, die für den Befehl verwendet wird. Dieses Attribut kann nur angegeben werden, wenn das Attribut p11_driver auf OTHERgesetzt ist.

Beispiel

[p11km_cmd_list_4764_slot_0_mechs]
action_name = “LIST_MECHANISMS”
p11_driver = “IBM_4764”
p11_slot = “0”
start_gui = “TRUE”

Verfügbare PKCS- #11 -Objekte auflisten

Generiert einen Bericht und zeigt verfügbare PKCS- #11 -Objekte an, die von einem PKCS- #11 -Token unterstützt werden (angepasst durch die Angabe der Werte für den Treiber und den Slot-Attribut).

Erforderliche Attribute

action_name = “LIST_OBJECTS”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Optionale Attribute

p11_login = “<boolean>”
p11_label = “<string>”
p11_class = “<PKCS#11 Object Class>”
p11_private = “<boolean>”
p11_trusted = “<boolean>”
p11_sensitive = “<boolean>”
start_gui = “<boolean>”

Dabei steht <PKCS-#11 -Objektklasse> für einen der folgenden Werte, die in der Spezifikation PKCS #11 von RSA definiert sind:

CKO_DATA
CKO_CERTIFICATE
CKO_PUBLIC_KEY
CKO_PRIVATE_KEY
CKO_SECRET_KEY
CKO_HW_FEATURE
CKO_DOMAIN_PARAMETERS
CKO_MECHANISM
CKO_VENDOR_DEFINED

Beispiel

[p11km_cmd_list_private_objs]
action_name = “LIST_OBJECTS”
p11_login = “TRUE”
p11_private = “TRUE”
p11_driver = “AIX”
p11_slot = “5”

PIN des PKCS #11 -Tokenbenutzers ändern:

Ändert die PIN des PKCS- #11 -Tokenbenutzers, die beim Anmelden am Token verwendet wird.

Erforderliche Attribute

action_name = “CHANGE_USER_PIN”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11km_cmd_change_my_pin]
action_name = “CHANGE_USER_PIN”
p11_slot = “1337”
p11_driver = “IBM_4764”

PKCS- #11 -Objekte löschen

Löscht PKCS- #11 -Objekte. Objekte werden basierend auf der nummerierten Liste der Objekte gelöscht, die sich aus der Ausführung eines Befehls LIST_OBJECTS und der Verwendung derselben Schablone mit den folgenden Attributen ergeben:

p11_label = “<string>”
p11_class = “<PKCS#11 Object Class>”
p11_private = “<boolean>”
p11_trusted = “<boolean>”
p11_sensitive = “<boolean>”
p11_login = “<boolean>”

Achtung: Da der Tokenstatus und die Konsistenz zwischen Batchprozessen nicht erhalten bleiben, können Objekte versehentlich gelöscht werden. Die aufgelistete Reihenfolge der Objekte ändert sich, wenn Objekte von anderen Prozessen hinzugefügt oder gelöscht werden, die mit demselben Token zwischen dem Zeitpunkt, zu dem ein Objekt ursprünglich aufgelistet ist, und dem Zeitpunkt, zu dem es gelöscht wird, ausgeführt werden.

Erforderliche Attribute

action_name = “DELETE_OBJECTS”
p11_driver = “<driver name>”
p11_slot = “<slot number>”
p11_objects = “<CSV>”

Dabei ist <CSV> entweder das Wort ALL (alle Tokenobjekte) oder eine durch Kommas getrennte Liste positiver ganzzahliger Werte, die den Objekten in der nummerierten Reihenfolge der Darstellung entspricht, indem die folgenden optionalen Attribute verwendet werden.

Optionale Attribute

p11_label = “<string>”
p11_class = “<PKCS#11 Object Class>”
p11_private = “<boolean>”
p11_trusted = “<boolean>”
p11_sensitive = “<boolean>”
p11_login = “<boolean>”
start_gui = “<boolean>”

Beispiel

[p11km_cmd_delete_seven_objects]
action_name = “DELETE_OBJECTS”
p11_slot = “0”
p11_driver = “AIX”
p11_objects = “1,5,10,11,12,27,33”
p11_login = “TRUE”

PKCS- #11 -Objekte verschieben:

Verschiebt PKCS- #11 -Objekte. Objekte werden basierend auf der nummerierten Liste der Objekte verschoben, die sich aus der Ausführung eines LIST_OBJECTS -Befehls und der Verwendung derselben Vorlage ergeben.

Achtung: Da der Tokenstatus und die Konsistenz zwischen Batchprozessen nicht erhalten bleiben, können Objekte versehentlich verschoben werden. Die aufgelistete Reihenfolge der Objekte ändert sich, wenn Objekte von anderen Prozessen hinzugefügt oder gelöscht werden, die mit demselben Token zwischen dem Zeitpunkt, zu dem ein Objekt ursprünglich aufgelistet ist, und dem Zeitpunkt, zu dem es versetzt wird, ausgeführt werden.

Erforderliche Attribute

action_name = “MOVE_OBJECTS”
############################################
###### Source Token Identification: ######
p11_driver = “<driver name>”
p11_slot = “<slot number>”
############################################
###### Target Token Identification: ######
p11_driver_target = “<driver name>”
p11_slot_target = “<slot number>”
############################################
###### Objects being moved to target: ######
p11_objects = “<CSV>”

Optionale Attribute

p11_label = “<string>”
p11_class = “<PKCS#11 Object Class>”
p11_private = “<boolean>”
p11_trusted = “<boolean>”
p11_sensitive = “<boolean>”
p11_login = “<boolean>”
start_gui = “<boolean>”

Beispiel

[p11km_cmd_move_three_objects]
action_name = “MOVE_OBJECTS”
p11_slot = “0”
p11_slot_target = “1”
p11_driver = “AIX”
p11_driver_target = “AIX”
p11_objects = “15,20,60”
p11_login = “FALSE”

PKCS- #11 -Objekte kopieren

Kopiert PKCS- #11 -Objekte. Objekte werden basierend auf der nummerierten Liste der Objekte kopiert, die sich aus der Ausführung eines LIST_OBJECTS -Befehls und der Verwendung derselben Vorlage ergeben.

Achtung: Da der Tokenstatus und die Konsistenz zwischen Batchprozessen nicht beibehalten werden, können Objekte versehentlich kopiert werden. Die aufgelistete Reihenfolge der Objekte ändert sich, wenn Objekte von anderen Prozessen hinzugefügt oder gelöscht werden, die mit demselben Token zwischen dem Zeitpunkt, zu dem ein Objekt ursprünglich aufgelistet ist, und dem Zeitpunkt, zu dem es kopiert wird, ausgeführt werden.

Erforderliche Attribute

action_name = “COPY_OBJECTS”
p11_driver = “<driver name>”
p11_slot = “<slot number>”
p11_driver_target = “<driver name>”
p11_slot_target = “<slot number>”
p11_objects = “<CSV>”

Optionale Attribute

p11_label = “<string>”
p11_class = “<PKCS#11 Object Class>”
p11_private = “<boolean>”
p11_trusted = “<boolean>”
p11_sensitive = “<boolean>”
p11_login = “<boolean>”
start_gui = “<boolean>”

Beispiel

[p11km_cmd_copy_one_private_object]
action_name = “COPY_OBJECTS”
p11_slot = “0”
p11_slot_target = “1”
p11_driver = “AIX”
p11_driver_target = “AIX”
p11_objects = “3”
p11_login = “TRUE” ## REQUIRED FOR PRIVATE OBJECT MGT.

PKCS- #11 -Objekte in eine Datei exportieren und sichern

Exportiert und sichert PKCS- #11 -Objekte. Objekte werden basierend auf der nummerierten Liste der Objekte exportiert und gesichert, die sich aus der Ausführung eines LIST_OBJECTS -Befehls und der Verwendung derselben Schablone ergeben.

Achtung: Da der Tokenstatus und die Konsistenz zwischen Batchprozessen nicht beibehalten werden, können Objekte versehentlich exportiert werden. Die aufgelistete Reihenfolge der Objekte ändert sich, wenn Objekte von anderen Prozessen hinzugefügt oder gelöscht werden, die mit demselben Token zwischen dem Zeitpunkt, zu dem ein Objekt ursprünglich aufgelistet ist, und dem Zeitpunkt, zu dem es exportiert wird, ausgeführt werden.

Erforderliche Attribute

action_name = “EXPORT_OBJECTS”
p11_driver = “<driver name>”
p11_slot = “<slot number>”
p11_object_file = “<file name>”
p11_objects = “<CSV>”

Optionale Attribute

p11_label = “<string>”
p11_class = “<PKCS#11 Object Class>”
p11_private = “<boolean>”
p11_trusted = “<boolean>”
p11_sensitive = “<boolean>”
p11_login = “<boolean>”
start_gui = “<boolean>”

Beispiel

[p11km_cmd_backup_objects]
action_name = “EXPORT_OBJECTS”
p11_slot = “0”
p11_driver = “AIX”
p11_objects = “ALL”
p11_login = “TRUE”
p11_object_file = “/home/user1/p11km.backup”

PKCS- #11 -Objekte aus einer Datei importieren

Importiert die PKCS- #11 -Objekte, die aus einer PKCS- #11 -Exportdatei erstellt wurden.

Erforderliche Attribute

action_name = “IMPORT_OBJECTS”
p11_driver = “<driver name>”
p11_slot = “<slot number>”
p11_object_file = “<file name>”

Optionale Attribute

p11_login = “<boolean>” # REQUIRED TO IMPORT ANY PRIVATE OBJECTS
start_gui = “<boolean>”

Beispiel

[p11km_cmd_import_my_backed_up_objects]
action_name = “IMPORT_OBJECTS”
p11_slot = “0”
p11_driver = “AIX”
p11_login = “TRUE”
p11_object_file = “/home/user1/p11km.backup”

Selbst signiertes Zertifikat erstellen

Erstellt ein selbst signiertes X.509-Zertifikat und die zugehörigen PKCS- #11 -Objekte in einem PKCS- #11 -Token.

Erforderliche Attribute

action_name = “CREATE_SSC”
p11_driver = “<driver name>”
p11_slot = “<slot number>”
p11_login = “TRUE”
p11_ssc_label = “<string>”
p11_ssc_config = “<openssl configuration file>”

Dabei ist <openssl-konfigurationsdatei> der vollständige UNIX-Pfad und Dateiname einer OpenSSL -Konfigurationsdatei, die mit Werten gefüllt wird, die beim Erstellen des selbst signierten Zertifikats verwendet werden.

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11km_cmd_self_signed_certificate]
action_name = “CREATE_SSC”
p11_slot = “0”
p11_driver = “AIX”
p11_login = “TRUE”
p11_ssc_label = “Lab RADIUS Server”
p11_ssc_config = “/etc/radius/EAP-TLS/openssl.cnf”

PKCS-Zertifikatssignieranforderung für #10 erstellen

Erstellt eine PKCS- #10 -Zertifizierungsanforderung oder Zertifikatssignieranforderung (Certificate Signing Request, CSR).

Erforderliche Attribute

action_name = “CREATE_CSR”
p11_driver = “<driver name>”
p11_slot = “<slot number>”
p11_login = “TRUE”
p11_csr_label = “<string>”
p11_csr_file = “<path to CSR output file>”
p11_csr_type = “<DER or Base64>'
p11_csr_config = “<openssl configuration file>”

Dabei generiert <DER oder Base64> entweder eine ASN.1 (DER) codierte CSR-Ausgabedatei oder eine Base64-encoded CSR-Ausgabedatei und <Pfad zur CSR-Ausgabedatei> verweist auf den vollständigen UNIX-Pfad und den Dateinamen der CSR-Ausgabe.

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11km_cmd_my_pkcs10_base64]
action_name = “CREATE_SSC”
p11_slot = “0”
p11_driver = “AIX”
p11_login = “TRUE”
p11_csr_label = “Lab RADIUS Server”
p11_csr_type = “Base64”
p11_csr_file = “/etc/radius/EAP-TLS/certreq.b64”
p11_csr_config = “/etc/radius/EAP-TLS/openssl.cnf”

Die folgenden Stapelbefehle sind im PKCS-Verwaltungstool von #11 (p11admin) verfügbar.

Verfügbare PKCS- #11 -Token auflisten

Generiert einen Bericht und zeigt die Token-und Steckplatzinformationen für die verfügbaren PKCS- #11 -Token an.

Erforderliche Attribute

action_name = “ADM_LIST_TOKENS”

Optionale Attribute

start_gui = “<boolean>”

Dabei ist <boolescher Wert> entwederTRUE oder FALSE .

Beispiel

[p11admin_cmd_list_tokens]
action_name = “ADM_LIST_TOKENS”

Verfügbare PKCS-#11 -Mechanismen auflisten

Generiert einen Bericht und zeigt verfügbare PKCS- #11 -Objekte an, die von einem PKCS- #11 -Token unterstützt werden (angepasst durch die Angabe der Werte für den Treiber und den Slot-Attribut).

Erforderliche Attribute

action_name = “ADM_LIST_MECHANISMS”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Dabei ist <Schlitznummer> ein positiver ganzzahliger Wert, und <Treibername> ist einer der folgenden Werte:

Wert	Beschreibung
AIX	AIX OS-Kryptografie-Framework
IBM_4758_4960	IBM 4758/4960 Verschlüsselungshardwareadapter
IBM_4764	IBM 4764 Kryptografischer Hardware-Adapter
Sonstige	Wenn Sie OTHER angeben, müssen Sie auch das Attribut p11_driver_path angeben.

Optionale Attribute

start_gui = “<boolean>”

Ergänzende Attribute

p11_driver_path = “<path to PKCS#11 driver>”

Dabei ist <Pfad zu PKCS#11 Treiber> der vollständige UNIX-Pfad und -Dateiname der PKCS #11 -Bibliothek, die für den Befehl verwendet wird. Dieses Attribut kann nur angegeben werden, wenn das Attribut p11_driver auf OTHERgesetzt ist.

Beispiel

[p11admin_cmd_list_4764_slot_0_mechs]
action_name = “ADM_LIST_MECHANISMS”
p11_driver = “IBM_4764”
p11_slot = “0”
start_gui = “TRUE”

Anzeigen von Informationen für ein PKCS- #11 -Token

Zeigt das PKCS- #11 -Token und die Steckplatzinformationen für ein PKCS- #11 -Token an.

Erforderliche Attribute

action_name = “ADM_SHOW_TOKEN_INFO”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11admin_cmd]
action_name = “ADM_SHOW_TOKEN_INFO”
p11_slot = “411”
p11_driver = “IBM_4764”

Initialisieren Sie ein PKCS- #11 -Token:

Initialisiert ein PKCS- #11 -Token. Bei der Initialisierung wird das Token erneut gesetzt, alle gespeicherten PKCS-#11 -Objekte und -Daten gelöscht und das Token wird auf die Basis des Tokens gesetzt.

Achtung: Da alle PKCS #11 -Objekte und -Daten während der Initialisierung gelöscht werden, stellen Sie sicher, dass Sie die Objekte und Daten nicht benötigen, bevor Sie ein PKCS #11 -Token initialisieren.

Erforderliche Attribute

action_name = “ADM_INIT_TOKEN”
p11_driver = “<driver name>”
p11_slot = “<slot number>” ## SAME AS 'p11_init_slot'
p11_init_slot = “<slot number>” ## SAME AS 'p11_slot'
p11_init_label = “<string>” ## NEW TOKEN LABEL

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11admin_cmd]
action_name = “ADM_INIT_TOKEN”
p11_slot = “1”
p11_driver = “IBM_4764”
p11_init_slot = “1”
p11_init_label = “ABC Token”

Uhr für ein PKCS- #11 -Token anzeigen

Zeigt die Hardwareuhr für ein PKCS- #11 -Token an, wenn dieses Token über eine Uhr verfügt.

Erforderliche Attribute

action_name = “ADM_CLOCK_VIEW”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11admin_cmd]
action_name = “ADM_CLOCK_VIEW”
p11_slot = “1”
p11_driver = “IBM_4764”

Setzen Sie die Uhr für ein PKCS- #11 -Token.

Legt die Hardwareuhr für ein PKCS- #11 -Token fest, wenn dieses Token eine Uhr hat.

Erforderliche Attribute

action_name = “ADM_CLOCK_SET”
p11_driver = “<driver name>”
p11_slot = “<slot number>”
p11_clock_set = “<clock data>”

Dabei ist <Taktdaten> das aktuelle UTC-Datum und -uhrzeit mit dem folgenden Format: HH:MM: SS mm-tt-JJJJ.

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11admin_cmd]
action_name = “ADM_CLOCK_SET”
p11_slot = “1”
p11_driver = “IBM_4764”
p11_clock_set = “23:59:59 12-31-1999”

Setzen Sie die PIN für einen PKCS #11 -Tokenbenutzer zurück.

Setzt die PIN für einen PKCS- #11 -Tokenbenutzer zurück.

Erforderliche Attribute

action_name = “ADM_RESET_USER_PIN”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11admin_cmd_change_so_pin]
action_name = “ADM_RESET_USER_PIN”
p11_driver = “AIX”
p11_slot = “0”

PIN für Sicherheitsbeauftragter für PKCS #11 -Token ändern

Ändert die PIN für einen PKCS #11 -Tokensicherheitsbeauftragten. Diese PIN wird verwendet, wenn die Tokenverwaltung ausgeführt wird.

Erforderliche Attribute

action_name = “ADM_CHANGE_SO_PIN”
p11_driver = “<driver name>”
p11_slot = “<slot number>”

Optionale Attribute

start_gui = “<boolean>”

Beispiel

[p11admin_cmd_change_so_pin]
action_name = “ADM_CHANGE_SO_PIN”
p11_slot = “888”
p11_driver = “IBM_4764”