Diretrizes de tratamento de certificados

Essas diretrizes são relevantes para mantenedores de pacotes que utilizam cartões inteligentes (smart cards) para carregar certificado ou chave privada. Seu objetivo é trazer uma consistência no manuseio de cartões inteligentes no sistema operacional; para informações e motivação, consulte o status atual de PKCS#11 no Fedora.

Como especificar um certificado ou chave privada armazenada em um cartão inteligente ou HSM

Em abril de 2015, RFC7512 definiu um "PKCS#11 URI" como uma forma padrão de identificar objetos armazenados em cartões inteligentes ou HSMs. Essa forma deve ser compreendida pelos programas quando especificada no lugar de um arquivo de certificado. Para aplicativos não interativos que obtêm informações na linha de comando ou arquivo de configuração, não deve haver uma opção de configuração separada para carregar chaves e certificados armazenados em cartões inteligentes, a mesma opção de aceitar arquivos, deve aceitar adicionalmente URIs de PKCS#11.

Como especificar um módulo de provedor de PKCS#11 específico para o certificado ou a chave

Pacotes que podem potencialmente usar tokens PKCS#11 DEVEM usar automaticamente os tokens que estão presentes na configuração do kit p11 do sistema, ao invés de precisar ter um provedor PKCS#11 explicitamente especificado. Veja a página de empacotamento de PKCS#11 para mais informações.