Beyond Linux® From Scratch (System V 版) - Version r12.0-1055+

第4章 セキュリティ

p11-kit-0.25.3

p11-kit の概要

p11-kit パッケージは、PKCS #11 (暗号トークンインターフェース標準; Cryptographic Token Interface Standard) モジュールをロードし繰返し処理を実現するための機能を提供します。

[注記]

注記

LFS や依存パッケージが本ブックに示す最新安定バージョンでなかった場合には、BLFS 開発版においては、パッケージのビルドや処理実行が適切に行われないことがあります。

パッケージ情報

p11-kit の依存パッケージ

推奨

libtasn1-4.19.0

推奨 (実行時)

make-ca-1.13

任意

GTK-Doc-1.33.2, libxslt-1.1.39, nss-3.96.1 (実行時)

p11-kit のインストール

Prepare the distribution specific anchor hook: 

sed '20,$ d' -i trust/trust-extract-compat &&

cat >> trust/trust-extract-compat << "EOF"
# Copy existing anchor modifications to /etc/ssl/local
/usr/libexec/make-ca/copy-trust-modifications

# Update trust stores
/usr/sbin/make-ca -r
EOF

以下のコマンドを実行して p11-kit をビルドします。 

mkdir p11-build &&
cd    p11-build &&

meson setup ..            \
      --prefix=/usr       \
      --buildtype=release \
      -Dtrust_paths=/etc/pki/anchors &&
ninja

ビルド結果をテストする場合は LC_ALL=C ninja test を実行します。

root ユーザーになって以下を実行します。 

ninja install &&
ln -sfv /usr/libexec/p11-kit/trust-extract-compat \
        /usr/bin/update-ca-certificates

コマンド説明

--buildtype=release: 本パッケージの安定版リリース向けに適したビルドタイプを指定します。 デフォルトにしていると、最適化されていないバイナリを生成する場合があるためです。

-Dtrust_paths=/etc/pki/anchors: this switch sets the location of trusted certificates used by libp11-kit.so.

-Dhash_impl=freebl: SHA1 や MD5 のハッシングに NSS の Freebl ライブラリを利用したい場合に指定します。

-Dgtk_doc=true: GTK-Doc-1.33.2libxslt-1.1.39 をインストールしていて、ドキュメントを再生成したり man ページを生成したいときに、本スイッチを指定します。

p11-kit の設定

The p11-kit trust module (/usr/lib/pkcs11/p11-kit-trust.so) can be used as a drop-in replacement for /usr/lib/libnssckbi.so to transparently make the system CAs available to NSS aware applications, rather than the static list provided by /usr/lib/libnssckbi.so. As the root user, execute the following commands: 

ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so

パッケージ構成

インストールプログラム: p11-kit, trust, update-ca-certificates
インストールライブラリ: libp11-kit.so, p11-kit-proxy.so
インストールディレクトリ: /etc/pkcs11, /usr/include/p11-kit-1, /usr/lib/pkcs11, /usr/libexec/p11-kit, /usr/share/gtk-doc/html/p11-kit, /usr/share/p11-kit

概略説明

p11-kit

システム内に導入されている PKCS#11 モジュールを制御するためのコマンドラインツール。

trust

is a command line tool to examine and modify the shared trust policy store

update-ca-certificates

is a command line tool to both extract local certificates from an updated anchor store, and regenerate all anchors and certificate stores on the system. This is done unconditionally on BLFS using the --force and --get flags to make-ca and should likely not be used for automated updates

libp11-kit.so

あらゆる PKCS#11 モジュールの初期化や終了化を行う機能を提供します。

p11-kit-proxy.so

PKCS#11 プロキシーモジュール。