Au-delà de Linux® From Scratch (édition System V) - Version r11.1-906+

Chapitre 4. Sécurité

p11-kit-0.24.1

Introduction à p11-kit

Le paquet p11-kit offre une façon de charger et d'énumérer les modules PKCS #11 (un standard d'interface de chiffrement).

[Note]

Note

Development versions of BLFS may not build or run some packages properly if dependencies have been updated since the most recent stable versions of the book.

Informations sur le paquet

Dépendances de p11-kit

Recommandées

libtasn1-4.18.0 et make-ca-1.10 (exécution)

Facultatives

GTK-Doc-1.33.2, libxslt-1.1.35 et nss-3.81 (exécution)

Notes utilisateur : https://wiki.linuxfromscratch.org/blfs/wiki/p11-kit

Installation de p11-kit

Préparez le crochet d'ancrage spécifique à la distribution : 

sed '20,$ d' -i trust/trust-extract-compat &&
cat >> trust/trust-extract-compat << "EOF"
# Copy existing anchor modifications to /etc/ssl/local
/usr/libexec/make-ca/copy-trust-modifications

# Update trust stores
/usr/sbin/make-ca -r
EOF

Installez p11-kit en exécutant les commandes suivantes : 

mkdir p11-build &&
cd    p11-build &&

meson --prefix=/usr       \
      --buildtype=release \
      -Dtrust_paths=/etc/pki/anchors &&
ninja

Pour tester les résultats lancez : ninja test.

Maintenant, en tant qu'utilisateur root : 

ninja install &&
ln -sfv /usr/libexec/p11-kit/trust-extract-compat \
        /usr/bin/update-ca-certificates

Explication des commandes

--buildtype=release : spécifie le type de construction convenant aux versions stables de ce paquet, comme la valeur par défaut produit des binaires non optimisés.

-Dtrust_paths=/etc/pki/anchors : ce paramètre initialise l'emplacement des certificats de confiance utilisés par libp11-kit.so.

-Dhash_impl=freebl : Utilisez ce paramètre si vous voulez utiliser la bibliothèque Freebl de NSS pour le calcul des hashs SHA1 et MD5.

-Dgtk_doc=true : Utilisez ce paramètre si vous avez installé GTK-Doc-1.33.2 et libxslt-1.1.35 et souhaitez reconstruire la documentation et générer les pages de manuel.

Configuration de p11-kit

Le module de confiance p11-kit (/usr/lib/libp11-kit.so) peut être utilisé comme remplaçant de /usr/lib/libnssckbi.so pour rendre les CA du système disponibles de manière transparente pour les applications conscientes de NSS, plutôt qu'une liste statique fournie par /usr/lib/libnssckbi.so. En tant qu'utilisateur root, exécutez les commandes suivantes : 

ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so

Contenu

Programmes installés: p11-kit, trust et update-ca-certificates
Bibliothèques installées: libp11-kit.so et p11-kit-proxy.so
Répertoires installés: /etc/pkcs11, /usr/include/p11-kit-1, /usr/lib/pkcs11, /usr/libexec/p11-kit, /usr/share/gtk-doc/html/p11-kit et /usr/share/p11-kit

Descriptions courtes

p11-kit

est un outil en ligne de commande qui peut être utilisé pour faire des opérations sur les modules PKCS#11 configurés sur le système

trust

est un outil en ligne de commandes pour examiner et modifier le stockage de la politique de partage

update-ca-certificates

est un outil en ligne de commande pour extraire les certificats locaux d'une banque de certificats dont les ancres ont été modifiées et pour régénérer toutes les ancres et les banques de certificats sur le système. Cela est possible sans condition sur BLFS avec les drapeaux --force et --get de make-ca mais ils ne devraient pas être utilisés pour des mises à jour automatiques

libp11-kit.so

contient les fonctions utilisées pour coordonner l'initialisation et la finalisation d'un module PKCS#11

p11-kit-proxy.so

est un module proxy PKCS#11

Last updated on