ctscachgen 命令
用途
创建或替换密钥高速缓存的磁盘版本。
语法
ctscachgen -c file-name [-f] [ -i | -n enc-key-name | -k enc-key-value -t key-type | -q ] [-m key-gen-method] [-s cache-size] [-h]
描述
ctscachgen 命令生成密钥高速缓存,并将已完成的高速缓存存储到在 file-name中指定的磁盘文件中。 此文件稍后可由应用程序通过 libct_skc 库接口使用和更新。
标志允许您使用 ctmsskf 命令用于对称密钥类型的助记符来指定要生成的密钥类型。 您也可以指定一个密钥值用来加密该高速缓存中可用的密钥。 缺省情况下,密钥是不加密的。 此外,您可以指定要存储到文件中的密钥数。
如果在 file-name 中指定的文件存在,那么该文件将被覆盖,即使当前内容与命令行上指定的标志不匹配。
标志
- -c 文件名
- 指定密钥高速缓存文件的名称。 可以是完整路径或者是当前目录的相对路径。
- -f
- 指示该命令覆盖现有的名称相同的密钥高速缓存文件,而不用向调用者确认覆盖。
- -i
- 显示有关使用 -c 标志指定的密钥高速缓存文件的信息。 显示的信息包括高速缓存文件的版本、读取计数、高速缓存中的密钥数、高速缓存中的密钥类型及其是否已用预加密的密钥加密。 此标志不能与 -n, -k, -t或 -q 标志一起使用。
- -n 编码密钥名称
- 提供包含加密类型密钥的文件名。 此标志不能与 -i, -k, -t或 -q 标志一起使用。
- -k 编码-键值
- 指定要用作预加密密钥的密钥值,以十六进制格式 (例如,6fe45d20a) 表示。 缺省情况下,不使用预加密密钥值。 此标志必须与 -t 标志一起使用。 它不能与 -i, -n或 -q 标志结合使用。
- -t 键入
- 提供由 -k 选项指定的加密密钥的类型。 有效密钥类型为: 3des_md5, aes256_md5, des_cbc, des_md5, rsa512_sha和 rsa1024_sha。 此标志必须与 -k 标志一起使用。 它不能与 -i, -n或 -q 标志结合使用。
- -q
- 指示命令使用主机的 HBA 专用密钥,作为用于在磁盘上的密钥高速缓存文件中预加密会话密钥的加密密钥。 此标志不能与 -i, -k, -t或 -n 标志一起使用。
- -m 密钥生成方法
- 提供会话密钥生成方法。 有效值为: 3des_md5, aes256_md5和 des_md5。 如果未指定此标志,那么生成会话密钥的缺省方法为 des_md5。
- -s 缓存大小
- 提供磁盘上的密钥高速缓存文件的大小,以高速缓存中的密钥数计。 如果不指定该标志,那么缺省的高速缓存大小为 128 个密钥。
- -h
- 将命令的用法语句写到标准输出。
安全性
对 ctscachgen 命令的许可权仅允许 root 运行该命令。
退出状态
成功完成后,该命令将返回退出状态码 0 并生成磁盘上的密钥高速缓存文件。 如果失败,那么例程将返回错误代码,并且可能除去调用者希望覆盖的现有密钥高速缓存文件。
- 0
- 命令成功完成。
- 4
- 标志不匹配或者无效。 file-name 保持为未修改。
- 6
- 该命令操作过程期间内存分配请求失败。 该命令不能完成请求的操作。
- 12
- 命令用户不能除去现有的密钥高速缓存文件(file-name 保持为未修改),或者不能访问或写入 file-name 驻留的目录。
- 21
- 没有足够的空间来存储 file-name,或者 file-name 内容显示为损坏。
- 27
- -c 标志指定的文件中存储的密钥无效或已损坏。 file-name 保持为未修改。
- 36
- 调用者无法访问 -c 标志指定的文件。 file-name 保持为未修改。
限制
- 磁盘上的密钥高速缓存仅用于生成它们的系统。 并不计划在系统之间共享这些高速缓存,或者将其迁移到另一个系统。 如果多个系统访问相同的密钥高速缓存文件,由于多个系统和应用程序都能访问对某特定的应用程序本应保密的信息,那么由这些密钥所提供的保护也就不存在了。 因此,任何由该命令创建的文件都不应该存储到共享文件系统或联网文件系统中。
- 由该命令生成的文件是以按主机顺序的二进制格式生成的。 此格式使在一个体系结构 (例如, Power ® 平台) 上生成的密钥高速缓存文件无法在另一个体系结构 (例如, Intel 平台) 上使用。
标准输出
当指定 -h 标志时,此命令的用法语句将写入标准输出。 当指定 -i 标志时,有关密钥高速缓存文件的信息将写入标准输出。
标准错误
有关任何检测到的故障情况的描述信息都写入标准错误。
示例
- 要查看密钥文件 /my_key_file中包含的密钥,请输入:
ctmsskf -l -f /my_key_file - 要从密钥文件 /my_key_file查看版本为 9 的密钥,请输入:
ctmsskf -l -v 9 -f /my_key_file - 要向密钥文件 /my_key_file添加密钥,请输入:
ctmsskf -a -t des_cbc -f /my_key_file -k 16_digit_value - 要从密钥文件 /my_key_file中删除密钥,请输入:
ctmsskf -d -f /my_key_file -v 10 - 要删除密钥文件 /my_key_file中的所有不活动密钥,请输入:
ctmsskf -d -f /my_key_file
位置
- /opt/rsct/bin/ctscachgen
- 包含 ctscachgen 命令
文件
- /opt/rsct/cfg/ctcasd.cfg
- ctcasd 守护程序的缺省配置
- /var/ct/cfg/ctcasd.cfg
- ctcasd 守护程序的配置,可由系统管理员修改
- /var/ct/cfg/ct_has.pkf
- 节点的集群安全服务公用密钥文件的缺省位置
- /var/ct/cfg/ct_has.qkf
- 节点的集群安全服务专用密钥文件的缺省位置
- /var/ct/cfg/ct_has.thl
- 节点的集群安全服务可信主机列表的缺省位置