^  Beyond Linux(r) From Scratch (systemd Edition) - Version 12.1  ^^^
^  Chapter 4. Security  ^^^
|[[.:OpenSSH-9.6p1|이전]]  |  [[.:index|위로]] / [[:start|처음으로]]  |  [[.:Polkit-124|다음]]|

|OpenSSH-9.6p1  |  Polkit-124|

----

===== p11-kit-0.25.3 =====

==== p11-kit 소개 ====
p11-kit 패키지는 PKCS #11(암호화 토큰 인터페이스 표준) 모듈을 불러오고 열거하는 방법을 제공합니다.

이 패키지는 LFS 12.1 플랫폼을 사용하여 빌드하고 제대로 작동하는 것으로 알려져 있습니다.

=== 패키지 정보 ===

  * 다운로드(HTTP): [[https://github.com/p11-glue/p11-kit/releases/download/0.25.3/p11-kit-0.25.3.tar.xz|p11-kit-0.25.3.tar.xz]]
  * MD5 Sum: <clipb t=c>2610cef2951d83d7037577eaae1acb54</clipb>
  * 다운로드 크기: 972 KB
  * 필요한 예상 디스크 공간: 95 MB (테스트 포함)
  * 예상 빌드 시간: 0.8 SBU (테스트 포함)

=== p11-kit 종속성 ===

== 권장 ==

  * [[.:libtasn1-4.19.0]]

== 권장 (런타임) ==

  * [[.:make-ca-1.13]]

== 선택적 ==

  * [[.:GTK-Doc-1.33.2]]
  * [[.:libxslt-1.1.39]]
  * [[.:NSS-3.98]] 런타임

==== p11-kit 설치 ====

배포판 앵커 후크를 준비합니다.

<code lang=bash>
sed '20,$ d' -i trust/trust-extract-compat &&

cat >> trust/trust-extract-compat << "EOF"
# Copy existing anchor modifications to /etc/ssl/local
/usr/libexec/make-ca/copy-trust-modifications

# Update trust stores
/usr/sbin/make-ca -r
EOF
</code> 

다음과 같이 p11-kit를 설치합니다.

<code lang=bash>
mkdir p11-build &&
cd    p11-build &&

meson setup ..            \
      --prefix=/usr       \
      --buildtype=release \
      -Dtrust_paths=/etc/pki/anchors &&
ninja
</code>

결과를 테스트하려면 다음과 같이 실행합니다: ''**LC_ALL=C ninja test**''

이제 //''root''// 사용자로

<code lang=bash>
ninja install &&
ln -sfv /usr/libexec/p11-kit/trust-extract-compat \
        /usr/bin/update-ca-certificates
</code>

==== 명령 설명 ====

  * //--buildtype=release:// \\ 기본값은 최적화되지 않은 바이너리를 생성할 수 있으므로 패키지의 안정적인 릴리스에 적합한 빌드 유형을 지정합니다.
  * //-Dtrust_paths=/etc/pki/anchors:// \\ libp11-kit.so에서 사용하는 신뢰할 수 있는 인증서의 위치를 설정합니다.
  * ''-Dhash_impl=freebl:'' \\ SHA1 및 MD5 해싱에 NSS의 Freebl 라이브러리를 사용하려면 이 스위치를 사용합니다.
  * ''-Dgtk_doc=true:'' \\ [[.:GTK-Doc-1.33.2]] 및 [[.:libxslt-1.1.39]]를 설치했으며 문서를 다시 빌드하고 매뉴얼 페이지를 생성하려면 이 스위치를 사용합니다.

==== p11-kit 설정하기 ====

p11-kit trust moduel(''/usr/lib/pkcs11/p11-kit-trust.so'')을 ''/usr/lib/libnssckbi.so''의 드롭인 대체로 사용하여 ''/usr/lib/libnssckbi.so''에서 제공하는 정적 목록 대신 NSS 인식 응용 프로그램에서 시스템 CA를 투명하게 사용할 수 있도록 할 수 있습니다. //root// 사용자로 다음 명령을 실행합니다:

<code lang=bash>
ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so
</code>

==== 내용 ====

  * **프로그램:** \\ p11-kit, trust 및 update-ca-certificates
  * **라이브러리:** \\ libp11-kit.so 및 p11-kit-proxy.so
  * **디렉터리** \\ /etc/pkcs11, /usr/include/p11-kit-1, /usr/lib/pkcs11, /usr/libexec/p11-kit, /usr/share/gtk-doc/html/p11-kit, /usr/share/p11-kit

=== 간단한 설명 ===
  * **p11-kit** \\ 시스템에 구성된 PKCS#11 모듈에 대한 작업을 수행하는 데 사용할 수 있는 명령줄 도구입니다.
  * **trust** \\ 공유 신뢰 정책 저장소를 검사하고 수정하는 명령줄 도구입니다.
  * **update-ca-certificates** \\ 업데이트된 앵커 스토어에서 로컬 인증서를 추출하고 시스템의 모든 앵커 및 인증서 스토어를 다시 생성하는 명령줄 도구입니다. 이 작업은 **make-ca**에 //--force// 및 //--get// 플래그를 사용하여 BLFS에서 무조건 수행되며 자동 업데이트에는 사용하지 않아야 합니다.
  * libp11-kit.so \\ PKCS#11 모듈의 초기화 및 최종화를 조정하는 데 사용되는 함수를 포함합니다.
  * p11-kit-proxy.so \\ PKCS#11 프록시 모듈입니다.