Beyond Linux^® From Scratch (Edição systemd ) - Versão 11.3

Capítulo 4. Segurança

Anterior
OpenSSH-9.2p1
Próxima
Polkit-122
Acima
Principal

p11-kit-0.24.1

Introdução a p11-kit

O pacote p11-kit fornece uma maneira de carregar e de enumerar módulos PKCS #11 (um padrão de interface de token criptográfico).

Esse pacote é conhecido por construir e funcionar adequadamente usando uma plataforma LFS 11.3.

Informação do Pacote

Transferência (HTTP): https://github.com/p11-glue/p11-kit/releases/download/0.24.1/p11-kit-0.24.1.tar.xz
Transferência (FTP):
Soma de verificação MD5 da transferência: 67b2539bdca6b4bedaeecc12864d2796
Tamanho da transferência: 820 KB
Espaço em disco estimado exigido: 44 MB (com os testes)
Tempo de construção estimado: 0,5 UPC (com os testes)

Dependências do p11-kit

Recomendadas

libtasn1-4.19.0 e make-ca-1.12 (tempo de execução)

Opcionais

GTK-Doc-1.33.2, libxslt-1.1.37 e nss-3.88.1 (tempo de execução)

Observações de Usuário(a): https://wiki.linuxfromscratch.org/blfs/wiki/p11-kit

Instalação do p11-kit

Prepare o gancho de ancoragem específico para distribuição:

sed '20,$ d' -i trust/trust-extract-compat &&
cat >> trust/trust-extract-compat << "EOF"
# Copia as modificações de âncora existentes para /etc/ssl/local
/usr/libexec/make-ca/copy-trust-modifications

# Atualiza armazenamentos confiáveis
/usr/sbin/make-ca -r
EOF

Instale p11-kit executando os seguintes comandos:

mkdir p11-build &&
cd   p11-build &&

meson --prefix=/usr       \
      --buildtype=release \
      -Dtrust_paths=/etc/pki/anchors &&
ninja

Para testar os resultados, emita: ninja test.

Agora, como o(a) usuário(a) root:

ninja install &&
ln -sfv /usr/libexec/p11-kit/trust-extract-compat \
       /usr/bin/update-ca-certificates

Explicações do Comando

--buildtype=release: Especifique um tipo de construção adequado para lançamentos estáveis do pacote, pois o padrão possivelmente produza binários não otimizados.

-Dtrust_paths=/etc/pki/anchors: essa chave configura o local dos certificados confiáveis usados pela libp11-kit.so.

-Dhash_impl=freebl: Use essa chave se quiser usar a biblioteca Freebl proveniente da NSS para hash SHA1 e MD5.

-Dgtk_doc=true: Use essa chave se você tiver instalado GTK-Doc-1.33.2 e libxslt-1.1.37 e deseja reconstruir a documentação e gerar páginas de manual .

Configurando p11-kit

O módulo de confiança p11-kit (/usr/lib/pkcs11/p11-kit-trust.so) pode ser usado como um substituto imediato para /usr/lib/libnssckbi.so para transparentemente tornar as ACs do sistema disponíveis para aplicativos cientes da NSS, em vez da lista estática fornecida pela /usr/lib/libnssckbi.so. Como o(a) usuário(a) root, execute os seguintes comandos:

ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so

Conteúdo

Aplicativos Instalados: p11-kit, trust e update-ca-certificates

Bibliotecas Instaladas: libp11-kit.so e p11-kit-proxy.so

Diretórios Instalados: /etc/pkcs11, /usr/include/p11-kit-1, /usr/lib/pkcs11, /usr/libexec/p11-kit, /usr/share/gtk-doc/html/p11-kit e /usr/share/p11-kit

Descrições Curtas

p11-kit	é uma ferramenta de linha de comando que pode ser usada para realizar operações em módulos PKCS#11 configurados no sistema
trust	é uma ferramenta de linha de comando para examinar e modificar o armazenamento de política de confiança compartilhada
update-ca-certificates	é uma ferramenta de linha de comando para extrair certificados locais a partir de um armazenamento âncora atualizado e regenerar todas as âncoras e armazenamentos de certificados no sistema. Isso é feito incondicionalmente no BLFS usando os sinalizadores `--force` e `--get` para o make-ca e provavelmente não deveria ser usado para atualizações automáticas
`libp11-kit.so`	contém funções usadas para coordenar a inicialização e a finalização de qualquer módulo PKCS#11
`p11-kit-proxy.so`	é o módulo proxy PKCS#11

Anterior
OpenSSH-9.2p1
Próxima
Polkit-122
Acima
Principal