Introduksjon til NSS
Nettverkssikkerhetstjenester (NSS)
pakken er et sett med biblioteker designet for å støtte utvikling
på tvers av plattformer med sikkerhetsaktiverte klient- og
serverapplikasjoner. Applikasjoner bygget med NSS kan støtte SSL v2
og v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509 v3
sertifikater og andre sikkerhetsstandarder. Dette er nyttig for
implementering av SSL og S/MIME eller andre Internett
sikkerhetsstandarder inn i en applikasjon.
Notat
Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen
pakker riktig hvis LFS eller avhengigheter har blitt oppdatert
siden den siste stabile versjonene av bøkene.
Pakkeinformasjon
Ytterligere Nedlastinger
NSS Avhengigheter
Påkrevd
NSPR-4.36
Anbefalt
SQLite-3.47.0 og p11-kit-0.25.5 (kjøretid)
Redaktørens notater: https://wiki.linuxfromscratch.org/blfs/wiki/nss
Installasjon av NSS
Installer NSS ved å kjøre følgende
kommandoer:
patch -Np1 -i ../nss-standalone-1.patch &&
cd nss &&
make BUILD_OPT=1 \
NSPR_INCLUDE_DIR=/usr/include/nspr \
USE_SYSTEM_ZLIB=1 \
ZLIB_LIBS=-lz \
NSS_ENABLE_WERROR=0 \
$([ $(uname -m) = x86_64 ] && echo USE_64=1) \
$([ -f /usr/include/sqlite3.h ] && echo NSS_USE_SYSTEM_SQLITE=1)
For å kjøre testene, kjør følgende kommandoer:
cd tests &&
HOST=localhost DOMSUF=localdomain ./all.sh
cd ../
Notat
Litt informasjon om testene:
-
HOST=localhost og DOMSUF=localdomain er påkrevd. Uten disse
variablene kreves er en FQDN spesifisert og denne generiske
måten bør fungere for alle, gitt localhost.localdomain
er definert
ved myhostname
Name Service Switch modulen,
som spesifisert i
LFS boken.
-
Testene tar lang tid å kjøre. Om ønskelig er det
informasjon i all.sh skriptet om kjøring av delsett av
total testpakke.
-
Når du avbryter testene, testpakken klarer ikke å avslutte
testservere som kjøres. Dette fører til en uendelig løkke i
testene der testpakken prøver å drepe en server som ikke
eksisterer lenger fordi den bruker feil PID.
-
Testresultater (i HTML-format!) finner du på
../../test_results/security/localhost.1/results.html
-
Noen få tester kan mislykkes på noen Intel maskiner av
ukjente årsaker.
Nå, som root
bruker:
cd ../dist &&
install -v -m755 Linux*/lib/*.so /usr/lib &&
install -v -m644 Linux*/lib/{*.chk,libcrmf.a} /usr/lib &&
install -v -m755 -d /usr/include/nss &&
cp -v -RL {public,private}/nss/* /usr/include/nss &&
install -v -m755 Linux*/bin/{certutil,nss-config,pk12util} /usr/bin &&
install -v -m644 Linux*/lib/pkgconfig/nss.pc /usr/lib/pkgconfig
Parameterforklaringer
BUILD_OPT=1
: Dette
alternativet sendes til make slik at byggingen utføres
uten feilsøkingssymboler innebygd i binærfiler og standard
kompilatoroptimaliseringer er brukt.
NSPR_INCLUDE_DIR=/usr/include/nspr
:
Dette alternativet angir plasseringen av nspr deklarasjonene.
USE_SYSTEM_ZLIB=1
: Dette
alternativet sendes til make for å sikre at libssl3.so
biblioteket er knyttet til systemets
installerte zlib i stedet for
versjon i pakken.
ZLIB_LIBS=-lz
: Dette
alternativet gir linkerflagg som trengs for å koble til systemets
zlib.
$([ $(uname -m) = x86_64 ] &&
echo USE_64=1): USE_64=1
alternativet er påkrevd på x86_64, ellers vil
make prøve (og
mislykkes) å lage 32-bits objekter. [ $(uname -m) = x86_64 ] testen
sikrer at det ikke har noe effekt på et 32-bitssystem.
([ -f /usr/include/sqlite3.h ]
&& echo NSS_USE_SYSTEM_SQLITE=1): Dette
tester om sqlite er installert og
i så fall echoer det
valget NSS_USE_SYSTEM_SQLITE=1 til make sånn at libsoftokn3.so
vil lenke mot systemversjonen av
sqlite.
NSS_DISABLE_GTESTS=1
: Hvis du ikke
trenger å kjøre NSS testpakken, legg til dette alternativet til
make kommandoen, for
å forhindre kompilering av tester og spare litt byggetid.
Konfigurere NSS
Hvis p11-kit-0.25.5 er installert, p11-kit tillitsmodul (/usr/lib/pkcs11/p11-kit-trust.so
) kan brukes som
en erstatning for /usr/lib/libnssckbi.so
for å gjøre systems CA
tilgjengelig på en transparent måte for NSS bevisste applikasjoner, snarere enn de
statiske bibliotekene levert av /usr/lib/libnssckbi.so
. Somm root
bruker, utføre følgende kommando:
ln -sfv ./pkcs11/p11-kit-trust.so /usr/lib/libnssckbi.so
I tillegg for avhengige applikasjoner som ikke bruker den interne
databasen (/usr/lib/libnssckbi.so
),
/usr/sbin/make-ca
skriptet inkludert
på make-ca-1.14 siden kan generere en
systemomfattende NSS DB med -n
bryteren, eller ved å endre
/etc/make-ca/make-ca.conf
filen.
Innhold
Installerte Programmer:
certutil, nss-config, og pk12util
Installerte Biblioteker:
libcrmf.a, libfreebl3.so,
libfreeblpriv3.so, libnss3.so, libnssckbi.so,
libnssckbi-testlib.so, libnssdbm3.so, libnsssysinit.so,
libnssutil3.so, libpkcs11testmodule.so, libsmime3.so,
libsoftokn3.so, og libssl3.so
Installerte Mapper:
/usr/include/nss
Korte Beskrivelser
certutil
|
er Mozilla Certificate Database Tool. Det er et
kommandolinje verktøy som kan opprette og endre Netscape
Communicator cert8.db og key3.db databasefiler. Den kan
også liste, generere, endre eller slette sertifikater i
cert8.db-filen og opprette eller endre passordet, generer
nye offentlige og private nøkkelpar, vise innholdet i
nøkkeldatabasen, eller slette nøkkelpar innenfor filen
key3.db
|
nss-config
|
brukes til å bestemme NSS bibliotekinnstillingene for de
installerte NSS bibliotekene
|
pk12util
|
er et verktøy for å importere sertifikater og nøkler fra
pkcs #12 filer inn i NSS eller eksportere dem. Den kan
også liste sertifikater og nøkler i slike filer
|