問題タブ [nss]

getpwnam_r() は、多くのマンページによると再入可能です。ただし、標準のみの状態

getpwnam_r() 関数はスレッドセーフであり、呼び出しごとに上書きされる可能性のある静的データ領域を使用する代わりに、ユーザー提供のバッファーに値を返します。

私は混乱しています。NSS モジュールの ...getpwnam_r() 関数は再入可能でなければなりませんか? それともスレッドセーフで十分ですか？

JavaアプリケーションのSunPKCS＃11プロバイダーとしてNetwork Security Servicesを使用していますが、望ましくない動作が発生しています。

同じ信頼できる証明書をキーストアに再挿入すると、証明書が最初に挿入されたときに正常に設定された信頼属性が削除されます。

問題の本質を示すための不完全なコードを次に示します。

同じキーストア（および証明書）をリロードすることはできますが、SSL認証は問題なく機能しますが、アプリを再起動してキーストアを再度リロードすると、信頼できるエイリアスのリストで証明書を使用できなくなります。

アプリを再起動したときだけうまくいかない理由も私には謎です。

http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6298106に関連していると思われるものを読みましたが、100％適用されていないようで、作成するnssの内部がわかりません。それの完全な感覚。

誰かがこの振る舞いを理解していますか？

ありがとう、マイク

私は FIPS 140-2 検証済みの暗号化を必要とするプロジェクトに取り組んでおり、SunPKCS11 トークン インターフェイスで NSS を使用しようとしています。CKR_USER_NOT_LOGGED_IN というエラーが表示されます。どうすればよいかわかりません。私が何をすべきかについて何か提案はありますか？

私はセキュリティの世界に慣れていないので、このコードは、Oracle Java チュートリアル、SunPKCS11 リファレンス ページ、および Web 上の FIPS モードで NSS を使用するための提案の例からまとめられています。

私が使用しているコードは次のとおりです。

そして、これが私がnssに使用している構成です。

このコードを実行すると、次のスタック トレースが表示されます。

何をすべきかわからないのは CKR_USER_NOT_LOGGED_IN エラーです。

FIPS モードを使用しないように NSS 構成を変更すると、プログラムは正常に動作し、ファイルに署名し、署名を与え、公開鍵を与えます。

NSS構成ファイルにリストされている適切なディレクトリで、次のコマンドを使用してNSSデータベースを作成しました。

Amazon Cloudfrontにアクセスしようとすると、PHPでcURLを使用すると奇妙なタイムアウトが発生します。これは、すべての無効化要求、ディストリビューションの作成などに影響を与えるようです。cURLは、0バイトまたはごく少数のバイトを受信し、タイムアウトしたことを報告します Operation timed out after 120000 milliseconds with 88 out of 619 bytes received。

タイムアウト設定を延長しても違いはないようです。

を使用してトレースを配置すると、次のCURLOPT_VERBOSE出力が生成されます。

これはこの質問に似ているようです。ただし、私の場合、curlは実際に応答を受け取るように見えますが、どういうわけかそれを無視してタイムアウトしますか？私が見たところ、応答が受信され（201 Created...）、SSLエラーはありません。では、なぜカールがタイムアウトするのですか？

cURLバージョン情報

64 ビット RHEL6.2 で 32 ビット バイナリを実行すると、Curl から次の出力が返され、戻り値は 0f 77 になります。

少し調べてみたところ、nss ライブラリに問題があることがわかりました。
私の要件は、libcurl 動的ライブラリを使用する 64 ビット マシンで 32 ビット バイナリを実行することです。RHEL 6.2 x64 マシンでこれを達成するための回避策はありますか?

リクエストに応じて詳細を提供できます..

言語: C
プラットフォーム: Linux (RHEL 6.2 x64)

事前にサンクス:)

私はこれでほとんど希望を失っています。PKCS#11 経由で、Firefox のインストールに付属している NSS ライブラリを使用して、Java 7 から Firefox トラスト ストアにアクセスしようとしています。

コードは次のとおりです。

PKCS#11 構成の内容は次のとおりです。

アプリケーションを実行すると、プロパティも設定されます-Djava.library.path=/usr/lib/firefox/

アプリケーションを実行すると、次のようになります。

「trustanchors」モジュールが初期化ステップでロードされていないことが実際にわかりますが、その理由はわかりません。ここのドキュメント: http://docs.oracle.com/javase/6/docs/technotes/guides/security/p11guide.html#NSSはそれを言います

trustanchors モジュールは、secmod.db がトラスト アンカー ライブラリを含むように構成されている場合、PKCS11 キーストアを介して NSS トラスト アンカー証明書にアクセスできるようにします。

しかし、それが何を意味するのかわかりません。Windows XP 32 ビットと Ubuntu 11.10 64 ビットの両方で同じ動作が得られることは注目に値します。アプリケーションが他のエラーで失敗するパスのいずれかを変更したかのように、pkcs11.cfg は正しいようです。

明るいアイデアはありますか？

nss の 64 ビット バージョンをビルドし、それを使用して --without-ssl および --with-nss=NSS_ROOT オプションを使用して curl ライブラリをビルドしようとしています。

構成段階では、次のように表示されます。

最後に、libcurl は https サポートなしでビルドされます。

誰かがこれを解決する方法を教えてもらえますか?

nsIX509CertDB.nsIX509CertDB を呼び出す FF 拡張機能を開発しようとしています。この関数を xpcshell から呼び出すと、常にエラー 0x80004005 (NS_ERROR_FAILURE) が発生します。xpcshell 環境ではパスワードの入力を求めるプロンプトが表示されないため、失敗していると思われます。コマンドラインから提供する方法はありますか?

私のコード:

FIPSモードでSunPKCS11プロバイダーを使用してJavaプログラムで動作するようにNSS3.12.4を構成しましたが、すべてが正常に機能します。現在、 https：//blogs.oracle.com/meena/entry/what_s_new_in_nss1に記載されている手順に従って、NSSを共有データベースとして機能させています。

NSSを共有データベースモードで構成すると、secmod.dbファイルが期待どおりにpkcs11.txtに置き換えられます。しかし、初期化中にsecmod.dbのチェックが行われているように見えるため、SunPKCS11は初期化に失敗しました。また、configDirの前にsql：を付けてみましたが、それも機能しません。

次の例外が発生します。

誰かがJavaまたはこの問題を回避する方法でNSS共有データベースを試しましたか？

nsICertificateDialogsダイアログを独自の実装に置き換えようとしています。Web メールからの smime メールを処理する拡張機能を既に持っています。拡張機能で Mozilla 証明書ストアを使用できるようにしたいと考えています。smime 証明書/キーをエクスポートする (拡張機能で使用する) 唯一の方法は、pfx ファイルをエクスポートすることです。

コマンドラインから nsIX509CertDB.nsIX509CertDB を呼び出している間にエラーが発生しました (古いファクトリを登録解除し、鉱山を正しい契約 ID で登録します)。私が呼び出すとCc[@mozilla.org/nsCertificateDialogs;1].getService(Ci.nsICertificateDialogs);、クラスがインスタンス化されます。呼び出すcertDB.importPKCS12File(null, certfile)とNS_ERROR_FAILURE、ダイアログ クラスがインスタンス化されません。

FF が証明書ダイアログをインスタンス化するときの違いは何ですか。どうすればテストできますか？私は何が欠けていますか？

編集:有効なトークン certDB.importPKCS12File(token, certfile); で呼び出された場合でも、証明書ダイアログ クラスが ff によってインスタンス化されません。変更呼び出し var certdialogInterface = Cc[sMimeCertificateDialog.mozillaContractID] .getService(Ci.nsICertificateDialogs); 私のクラスを正しくインスタンス化します（いくつかの QueryInterface 呼び出しが続きます）

編集: (願わくば) 単純な複製子をhttp://www.sodgeit.de/dialog_reproducer.zipにアップロードしました