certlocal 子命令管理私钥数据库。使用此子命令的选项,可以添加、查看和删除私钥。此子命令还用于创建自签名的证书或证书请求。-ks 选项用于创建自签名的证书。-kc 选项用于创建证书请求。密钥存储在系统的 /etc/inet/secret/ike.privatekeys 目录中,或者通过 -T 选项存储在连接的硬件上。
创建私钥时,ikecert certlocal 命令的选项必须在 ike/config 文件中具有相关项。ikecert 选项和 ike/config 项之间的对应关系如下表所示。
表 24–1 ikecert 选项和 ike/config 项之间的对应关系
ikecert 选项 |
ike/config 项 |
说明 |
---|---|---|
唯一标识证书的别名。可能的值是 IP 地址、电子邮件地址或域名。 |
||
X.509-distinguished-name |
证书颁发机构的完整名称,包括国家/地区 (C)、组织名称 (ON)、组织单元 (OU) 和公用名称 (CN)。 |
|
一种速度比 RSA 稍慢的验证方法。 |
||
-t rsa-md5 和 -t rsa-sha1 |
auth_method rsa_sig |
一种速度比 DSA 稍快的验证方法。 RSA 公钥必须大到足以加密最大的 payload(有效负荷)。通常,标识有效负荷(如 X.509 标识名)是最大的有效负荷。 |
-t rsa-md5 和 -t rsa-sha1 |
RSA 加密防止窃听者知道 IKE 中的标识,但是要求 IKE 对等方知道彼此的公钥。 |
|
PKCS #11 库处理 Sun Crypto Accelerator 1000 板、Sun Crypto Accelerator 6000 板和 Sun Crypto Accelerator 4000 板上的密钥加速。该库还提供处理 Sun Crypto Accelerator 6000 和 Sun Crypto Accelerator 4000 板上密钥存储的标记。 |
如果使用 ikecert certlocal -kc 命令发出证书请求,则会将该命令的输出发送到 PKI 组织或证书颁发机构 (certificate authority, CA)。如果您的公司运行自己的 PKI,则会将输出发送到 PKI 管理员。然后,PKI 组织、CA 或 PKI 管理员将创建证书。PKI 或 CA 返回给您的证书是 certdb 子命令的输入。PKI 返回给您的证书撤销列表 (certificate revocation list, CRL) 是 certrldb 子命令的输入。