Introduksjon til NSS
Nettverkssikkerhetstjenester (NSS)
pakken er et sett med biblioteker designet for å støtte utvikling
på tvers av plattformer med sikkerhetsaktiverte klient- og
serverapplikasjoner. Applikasjoner bygget med NSS kan støtte SSL v2
og v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3
sertifikater og andre sikkerhetsstandarder. Dette er nyttig for
implementering av SSL og S/MIME eller andre Internett
sikkerhetsstandarder inn i en applikasjon.
Denne pakken er kjent for å bygge og fungere riktig ved å bruke en
LFS 12.1 plattform.
Pakkeinformasjon
Ytterligere Nedlastinger
NSS Avhengigheter
Påkrevd
NSPR-4.35
Anbefalt
SQLite-3.45.1 og p11-kit-0.25.3 (kjøretid)
Redaktørens notater: https://wiki.linuxfromscratch.org/blfs/wiki/nss
Installasjon av NSS
Installer NSS ved å kjøre følgende
kommandoer:
patch -Np1 -i ../nss-3.98-standalone-1.patch &&
cd nss &&
make BUILD_OPT=1 \
NSPR_INCLUDE_DIR=/usr/include/nspr \
USE_SYSTEM_ZLIB=1 \
ZLIB_LIBS=-lz \
NSS_ENABLE_WERROR=0 \
$([ $(uname -m) = x86_64 ] && echo USE_64=1) \
$([ -f /usr/include/sqlite3.h ] && echo NSS_USE_SYSTEM_SQLITE=1)
For å kjøre testene, kjør følgende kommandoer:
cd tests &&
HOST=localhost DOMSUF=localdomain ./all.sh
cd ../
Note
Litt informasjon om testene:
-
HOST=localhost og DOMSUF=localdomain er påkrevd. Uten disse
variablene kreves er en FQDN spesifisert og denne generiske
måten bør fungere for alle, gitt localhost.localdomain
er definert
i /etc/hosts
, som gjort i
LFS boken.
-
Testene tar lang tid å kjøre. Om ønskelig er det
informasjon i all.sh skriptet om kjøring av delsett av
total testpakke.
-
Når du avbryter testene, testpakken klarer ikke å avslutte
testservere som kjøres. Dette fører til en uendelig løkke i
testene der testpakken prøver å drepe en server som ikke
eksisterer lenger fordi den bruker feil PID.
-
Testresultater (i HTML-format!) finner du på
../../test_results/security/localhost.1/results.html
-
Noen få tester kan mislykkes på noen Intel maskiner av
ukjente årsaker.
Nå, som root
bruker:
cd ../dist &&
install -v -m755 Linux*/lib/*.so /usr/lib &&
install -v -m644 Linux*/lib/{*.chk,libcrmf.a} /usr/lib &&
install -v -m755 -d /usr/include/nss &&
cp -v -RL {public,private}/nss/* /usr/include/nss &&
install -v -m755 Linux*/bin/{certutil,nss-config,pk12util} /usr/bin &&
install -v -m644 Linux*/lib/pkgconfig/nss.pc /usr/lib/pkgconfig
Parameterforklaringer
BUILD_OPT=1
: Dette
alternativet sendes til make slik at byggingen utføres
uten feilsøkingssymboler innebygd i binærfiler og standard
kompilatoroptimaliseringer er brukt.
NSPR_INCLUDE_DIR=/usr/include/nspr
:
Dette alternativet angir plasseringen av nspr deklarasjonene.
USE_SYSTEM_ZLIB=1
: Dette
alternativet sendes til make for å sikre at libssl3.so
biblioteket er knyttet til systemets
installerte zlib i stedet for
versjon i pakken.
ZLIB_LIBS=-lz
: Dette
alternativet gir linkerflagg som trengs for å koble til systemets
zlib.
$([ $(uname -m) = x86_64 ] &&
echo USE_64=1): USE_64=1
alternativet er påkrevd på x86_64, ellers vil
make prøve (og
mislykkes) å lage 32-bits objekter. [ $(uname -m) = x86_64 ] testen
sikrer at det ikke har noe effekt på et 32-bitssystem.
([ -f /usr/include/sqlite3.h ]
&& echo NSS_USE_SYSTEM_SQLITE=1): Dette
tester om sqlite er installert og
i så fall echoer det
valget NSS_USE_SYSTEM_SQLITE=1 til make sånn at libsoftokn3.so
vil lenke mot systemversjonen av
sqlite.
NSS_DISABLE_GTESTS=1
: Hvis du ikke
trenger å kjøre NSS testpakken, legg til dette alternativet til
make kommandoen, for
å forhindre kompilering av tester og spare litt byggetid.
Konfigurere NSS
Hvis p11-kit-0.25.3 er installert, p11-kit tillitsmodul (/usr/lib/pkcs11/p11-kit-trust.so
) kan brukes som
en erstatning for /usr/lib/libnssckbi.so
for å gjøre systems CA
tilgjengelig på en transparent måte for NSS bevisste applikasjoner, snarere enn de
statiske bibliotekene levert av /usr/lib/libnssckbi.so
. Somm root
bruker, utføre følgende kommando:
ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so
I tillegg for avhengige applikasjoner som ikke bruker den interne
databasen (/usr/lib/libnssckbi.so
),
/usr/sbin/make-ca
skriptet inkludert
på make-ca-1.13 siden kan generere en
systemomfattende NSS DB med -n
bryteren, eller ved å endre
/etc/make-ca/make-ca.conf
filen.
Innhold
Installerte Programmer:
certutil, nss-config, og pk12util
Installerte Biblioteker:
libcrmf.a, libfreebl3.so,
libfreeblpriv3.so, libnss3.so, libnssckbi.so,
libnssckbi-testlib.so, libnssdbm3.so, libnsssysinit.so,
libnssutil3.so, libpkcs11testmodule.so, libsmime3.so,
libsoftokn3.so, og libssl3.so
Installerte Mapper:
/usr/include/nss
Korte Beskrivelser
certutil
|
er Mozilla Certificate Database Tool. Det er et
kommandolinje verktøy som kan opprette og endre Netscape
Communicator cert8.db og key3.db databasefiler. Den kan
også liste, generere, endre eller slette sertifikater i
cert8.db-filen og opprette eller endre passordet, generer
nye offentlige og private nøkkelpar, vise innholdet i
nøkkeldatabasen, eller slette nøkkelpar innenfor filen
key3.db
|
nss-config
|
brukes til å bestemme NSS bibliotekinnstillingene for de
installerte NSS bibliotekene
|
pk12util
|
er et verktøy for å importere sertifikater og nøkler fra
pkcs #12 filer inn i NSS eller eksportere dem. Den kan
også liste sertifikater og nøkler i slike filer
|