When using mod_ssl, we just specify the crypto provider as <b>pkcs11 </b>and it will take care of the rest. The issue with mod_ssl is that the key is not stored in the card, that is why we wanted to go with mod_nss. <div><br>

</div>
<div>Here in my case, the key and certificates are stored in the card, but somehow the RSA encryption is not done in the card. </div><div><br></div><div>What puzzles me is that when I list the tokens using <b>modutil -list </b>only "Sun Metaslot" has RSA has the mechanism RSA associated with it, so logically all RSA jobs should go to the card. </div>


<div><br></div><div>I also mailed to the <span class="Apple-style-span" style="border-collapse: collapse; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px; ">dev-tech-crypto list, but got no response. Do you suspect that any of my libraries are not built properly? (NSPR, NSS , mod_nss or Apache). </span></div>

<div><span class="Apple-style-span" style="border-collapse: collapse; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br></span></div><div><span class="Apple-style-span" style="border-collapse: collapse; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px; ">When using JSSE through tomcat or Apache through mod_ssl, the card is being used for RSA jobs. The issue seems to be only with NSS :(</span></div>

<div><span class="Apple-style-span" style="border-collapse: collapse; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br></span></div><div><span class="Apple-style-span" style="border-collapse: collapse; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">I will try to get in touch with the Sun Metaslot support tomorrow.</span></div>

<div><span class="Apple-style-span" style="border-collapse: collapse; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><br></span></div><div><span class="Apple-style-span" style="border-collapse: collapse; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;">Rishi<br>

</span><br><div class="gmail_quote">On Wed, Aug 12, 2009 at 10:29 PM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Rishi Renjith wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>
I also tried this test. <br>
*cryptoadm disable provider=mca/0 mechanism=all*<br>
<br>
In this case, the handshake fails. <br>
But..., if i disable only RSA in the card, cryptoadm disable provider=mca/0 mechanism=<all RSA mechanisms><br></div>
*it works, which means that the card is currently used for AES jobs and RSA joba are done at the software level. *<br>
</blockquote>
<br>
Ok, looks like one of the SSL devs in mozilla.dev.tech.crypto (Nelson) thinks this is a question for the Sun Metaslot folks. I'm not sure why this works in mod_ssl with openssl, it may be that they explicitly configure things to work only in hardware.<br>


<font color="#888888">
<br>
rob<br>
</font></blockquote></div><br></div>