概述 - 密钥管理互操作性协议
IBM Security Key Lifecycle Manager 服务器支持与客户机进行密钥管理互操作性协议 (KMIP) 通信,从而对密码材料进行密钥管理操作。 这些材料包括对称密钥和非对称密钥、证书,以及用于创建这些密钥和证书并控制其用法的模板。
密钥管理互操作性协议是结构化信息标准促进组织 (OASIS) 标准化项目的一部分,用于对存储的数据进行加密和密钥管理。
有关更多信息,请参阅“密钥管理互操作性协议”文档 (http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip)。
密钥和证书的 KMIP 属性
IBM Security Key Lifecycle Manager 支持以下任务:
- 通过 IBM Security Key Lifecycle Manager 图形用户界面管理以下 KMIP 信息:
- 是否已配置 KMIP 端口和超时设置。
- 当前 KMIP 证书,指示正在将哪个证书用于安全服务器或服务器/客户机通信。
- 为安全通信指定的是 SSL/KMIP 还是 SSL。
- 您可以更新密钥和证书的 KMIP 属性。
例如,您可以使用 tklmKeyAttributeUpdate 命令来更新:
- name
- 指定用于标识或查找对象的名称。 此属性为密钥管理互操作性协议属性。
- applicationSpecificInformation
- 将应用程序名称空间信息指定为密钥管理互操作性协议属性。
- contactInformation
- 将联系人信息指定为密钥管理互操作性协议属性。
- cryptoParams cryptoparameter1, cryptoparameter2, …, cryptoparameterN
- 使用对象 cryptoparameter1, cryptoparameter2, …, cryptoparameterN 来指定用于加密操作的加密参数。 此属性为密钥管理互操作性协议属性。
- customAttribute
- 将字符串格式的定制属性指定为密钥管理互操作性协议属性。 特定于客户机的属性必须以字符“x-”(x 连字符)开头,而特定于服务器的属性必须以“y-”(y 连字符)开头。
- link
- 指定从一个受管加密对象指向另一个密切相关的目标受管加密对象的链接。 此属性为密钥管理互操作性协议属性。
- objectGroup
- 指定此对象可能属于的一个或多个对象组名。 此属性为密钥管理互操作性协议属性。
- processStartDate
- 指定对称密钥对象可用于处理的日期。 在该日期之后,您不能更改该值。 如果指定的日期早于当前日期,那么该值将设置为当前日期。 此属性为密钥管理互操作性协议属性。
- protectStopDate
- 指定对象不能用于处理的日期。 在该日期之后,您不能更改该值。 如果指定的日期早于当前日期,那么该值将设置为当前日期。 此属性为密钥管理互操作性协议属性。
- usageLimits
- 将总字节数 (BYTE) 或总对象数 (OBJECT) 指定为密钥管理互操作性协议属性。 使用此对象之后,就不能修改此值。 例如,GetUsageAllocation 将调用此对象。
- 列出并删除客户机注册的 KMIP 模板。客户机使用模板以标准化或方便的方式指定新对象的密码属性。 模板是受管对象,包含客户机可为密码对象设置的操作中的属性。 例如,客户机可设置特定于应用程序的信息。
- tklmKMIPTemplateList
- 列出 IBM Security Key Lifecycle Manager 提供的 KMIP 模板。 例如,您可以列出所有模板。
- tklmKMIPTemplateDelete
- 删除客户机向 IBM Security Key Lifecycle Manager 注册的 KMIP 模板。
- 列出并删除秘密数据(如密码)或用于生成密钥的种子值。
- tklmSecretDataDelete
- 删除 KMIP 客户机发送至 IBM Security Key Lifecycle Manager 的秘密数据。
- tklmSecretDataList
- 列出 KMIP 客户机发送至 IBM Security Key Lifecycle Manager 的秘密数据。
- 设置缺省端口和超时属性
- KMIPListener.ssl.port
- 指定 IBM Security Key Lifecycle Manager 服务器侦听来自库的请求时使用的端口。 该服务器通过 SSL 套接字并使用密钥管理互操作性协议进行通信。
- TransportListener.ssl.port
- 指定 IBM Security Key Lifecycle Manager 服务器侦听来自磁带库(这些磁带库使用 SSL 协议进行通信)的请求时使用的端口。
- TransportListener.ssl.timeout
- 指定套接字在关闭之前等待 read() 的时间。 此属性用于 SSL 套接字。
- 启用或禁用来自 KMIP 客户机的删除请求。
认证过的客户机可请求对密钥可用性、服务器性能和密钥安全性可能有重大影响的删除操作。 使用 tklmDeviceGroupAttributeUpdate 或 tklmDeviceGroupCreate 命令指定 enableKMIPDelete 属性以确定 IBM Security Key Lifecycle Manager 是否会对这些请求执行操作。