概述 - 密钥管理互操作性协议
IBM Security Key Lifecycle Manager server支持与客户机进行Key Management Interoperability Protocol (KMIP) 通信,从而对密码材料进行密钥管理操作。 这些材料包括对称密钥和非对称密钥、证书,以及用于创建这些密钥和证书并控制其用法的模板。
Key Management Interoperability Protocol是Organization for the Advancement of Structured Information Standards (OASIS) 标准化项目的一部分,用于对存储的数据进行加密和密钥管理。
有关更多信息,请参阅“密钥管理互操作性协议”文档 (http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip)。
密钥和证书的 KMIP 属性
IBM Security Key Lifecycle Manager 支持以下任务:
- 通过 IBM Security Key Lifecycle Manager 图形用户界面管理以下 KMIP 信息:
- 是否已配置 KMIP 端口和超时设置。
- 当前 KMIP 证书,指示正在将哪个证书用于安全服务器或服务器/客户机通信。
- 为安全通信指定的是 SSL/KMIP 还是 SSL。
- 您可以更新密钥和证书的 KMIP 属性。
例如,您可以使用 tklmKeyAttributeUpdate 命令来更新:
- name
- Specifies the name that is used to identify or locate the object. This attribute is a Key Management Interoperability Protocol attribute.
- applicationSpecificInformation
- Specifies application namespace information as a Key Management Interoperability Protocol attribute.
- contactInformation
- Specifies contact information as a Key Management Interoperability Protocol attribute.
- cryptoParams cryptoparameter1, cryptoparameter2, …, cryptoparameterN
- Specifies the cryptographic parameters that are used for cryptographic operations by using the object cryptoparameter1, cryptoparameter2, …, cryptoparameterN. This attribute is a Key Management Interoperability Protocol attribute.
- customAttribute
- Specifies a custom attribute in string format as a Key Management Interoperability Protocol attribute. Client-specific attributes must start with the characters "x-" (x hyphen) and server-specific attributes must start with "y-" (y hyphen).
- link
- Specifies the link from one managed cryptographic object to another, closely related target managed cryptographic object. This attribute is a Key Management Interoperability Protocol attribute.
- objectGroup
- Specifies one or more object group names of which this object might be part. This attribute is a Key Management Interoperability Protocol attribute.
- processStartDate
- Specifies the date on which a symmetric key object can be used for process purposes. You cannot change the value after the date occurs. If you specify a date earlier than the current date, the value is set to the current date. This attribute is a Key Management Interoperability Protocol attribute.
- protectStopDate
- Specifies the date on which an object cannot be used for process purposes. You cannot change the value after the date occurs. If you specify a date earlier than the current date, the value is set to the current date. This attribute is a Key Management Interoperability Protocol attribute.
- usageLimits
- Specifies either total bytes (BYTE) or total objects (OBJECT) as a Key Management Interoperability Protocol attribute. You cannot modify this value once this object is used. For example, GetUsageAllocation calls this object.
- 列出并删除客户机注册的 KMIP 模板。客户机使用模板以标准化或方便的方式指定新对象的密码属性。 模板是受管对象,包含客户机可为密码对象设置的操作中的属性。 例如,客户机可设置特定于应用程序的信息。
- tklmKMIPTemplateList
- 列出 IBM Security Key Lifecycle Manager 提供的 KMIP 模板。 例如,您可以列出所有模板。
- tklmKMIPTemplateDelete
- 删除客户机向 IBM Security Key Lifecycle Manager 注册的 KMIP 模板。
- 列出并删除秘密数据(如密码)或用于生成密钥的种子值。
- tklmSecretDataDelete
- 删除 KMIP 客户机发送至 IBM Security Key Lifecycle Manager 的秘密数据。
- tklmSecretDataList
- 列出 KMIP 客户机发送至 IBM Security Key Lifecycle Manager 的秘密数据。
- 设置缺省端口和超时属性
- KMIPListener.ssl.port
- 指定 IBM Security Key Lifecycle Manager server侦听来自库的请求时使用的端口。 该服务器通过 SSL 套接字并使用Key Management Interoperability Protocol进行通信。
- TransportListener.ssl.port
- 指定 IBM Security Key Lifecycle Manager server侦听来自磁带库(这些磁带库使用 SSL 协议进行通信)的请求时使用的端口。
- TransportListener.ssl.timeout
- 指定套接字在关闭之前等待 read() 的时间。 此属性用于 SSL 套接字。
- 启用或禁用来自 KMIP 客户机的删除请求。
认证过的客户机可请求对密钥可用性、服务器性能和密钥安全性可能有重大影响的删除操作。 使用 tklmDeviceGroupAttributeUpdate 或 tklmDeviceGroupCreate 命令指定 enableKMIPDelete 属性以确定 IBM Security Key Lifecycle Manager 是否会对这些请求执行操作。