Au-delà de Linux® From Scratch (édition System V) - Version 9.0

Chapitre 4. Sécurité

p11-kit-0.23.16.1

Introduction à p11-kit

Le paquet p11-kit offre une façon de charger et d'énumérer les modules PKCS #11 (un standard d'interface de chiffrement).

Ce paquet est connu pour se construire correctement sur une plateforme LFS-9.0.

Informations sur le paquet

Dépendances de p11-kit

Recommandées

libtasn1-4.14 et make-ca-1.4 (exécution)

Facultatives

GTK-Doc-1.32, libxslt-1.1.33 et NSS-3.45 (exécution)

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/p11-kit

Installation de p11-kit

Préparez le crochet d'ancrage spécifique à la distribution : 

sed '20,$ d' -i trust/trust-extract-compat.in &&
cat >> trust/trust-extract-compat.in << "EOF"
# Copy existing anchor modifications to /etc/ssl/local
/usr/libexec/make-ca/copy-trust-modifications

# Generate a new trust store
/usr/sbin/make-ca -f -g
EOF

Installez p11-kit en lançant les commandes suivantes : 

./configure --prefix=/usr     \
            --sysconfdir=/etc \
            --with-trust-paths=/etc/pki/anchors &&
make

Pour tester les résultats lancez : make check.

Maintenant, en tant qu'utilisateur root : 

make install &&
ln -sfv /usr/libexec/p11-kit/trust-extract-compat \
        /usr/bin/update-ca-certificates

Explication des commandes

--with-trust-paths=/etc/pki/anchors : ce paramètre initialise l'emplacement des certificats de confiance utilisés par libp11-kit.so.

--with-hash-impl=freebl : Utilisez ce paramètre si vous voulez utiliser la bibliothèque Freebl de NSS pour le calcul des hashs SHA1 et MD5.

--enable-doc : Utilisez ce paramètre si vous avez installé GTK-Doc-1.32 et libxslt-1.1.33 et souhaitez reconstruire la documentation et générer les pages de manuel.

Configuration de p11-kit

Le module de confiance p11-kit (/usr/lib/libp11-kit.so) peut être utilisé comme remplaçant de /usr/lib/libnssckbi.so pour rendre les CA du système disponibles de manière transparente pour les applications conscientes de NSS, plutôt qu'une liste statique fournie par /usr/lib/libnssckbi.so. En tant qu'utilisateur root, exécutez les commandes suivantes : 

ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so

Contenu

Programmes installés: p11-kit, trust et update-ca-certificates
Bibliothèques installées: libp11-kit.so et p11-kit-proxy.so
Répertoires installés: /etc/pkcs11, /usr/include/p11-kit-1, /usr/lib/pkcs11, /usr/libexec/p11-kit, /usr/share/gtk-doc/html/p11-kit et /usr/share/p11-kit

Descriptions courtes

p11-kit

est un outil en ligne de commande qui peut être utilisé pour faire des opérations sur les modules PKCS#11 configurés sur le système.

trust

est un outil en ligne de commandes pour examiner et modifier le stockage de la politique de partage.

update-ca-certificates

est un outil en ligne de commande pour extraire les certificats locaux d'une banque de certificats dont les ancres ont été modifiées et pour régénérer toutes les ancres et les banques de certificats sur le système. Cela est possible sans condition sur BLFS avec les drapeaux --force et --get de make-ca mais ils ne devraient pas être utilisés pour des mises à jour automatiques.

libp11-kit.so

contient les fonctions utilisées pour coordonner l'initialisation et la finalisation d'un module PKCS#11.

p11-kit-proxy.so

est un module proxy PKCS#11.

Last updated on 2019-08-16 22:28:01 +0000