系统管理指南：IP 服务

如何使用自签名的公钥证书配置 IKE

自签名证书比 CA 颁发的公共证书所需的开销少，但不太易于扩展。

在系统控制台上，承担主管理员角色或成为超级用户。

主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2 章 “使用 Solaris Management Console（任务）”。

注 –
远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

将自签名证书添加到 ike.privatekeys 数据库。

# ikecert certlocal -ks|-kc -m keysize -t keytype \
-D dname -A altname \
[-S validity-start-time] [-F validity-end-time] [-T token-ID]

-ks: 创建自签名证书。
-kc: 创建证书请求。有关过程，请参见如何使用 CA 签名的证书配置 IKE。
-m keysize: 是密钥的大小。keysize 可以是 512、1024、2048、3072 或 4096。
-t keytype: 指定要使用的算法类型。keytype 可以是 rsa-sha1、rsa-md5 或 dsa-sha1。
-D dname: 是证书主题的 X.509 标识名。dname 通常具有以下格式： C=country, O=organization, OU=organizational unit, CN=common name。有效标记是 C、O、OU 和 CN。
-A altname: 是证书的替代名称。altname 的形式为 tag=value。有效标记是 IP、DNS、email 和 DN。
-S validity-start-time: 为证书提供绝对或相对有效开始时间。
-F validity-end-time: 为证书提供绝对或相对有效结束时间。
-T token-ID: 启用 PKCS #11 硬件标记来生成密钥。然后证书将被存储在硬件中。

例如，partym 系统上命令的显示与以下信息类似：

# ikecert certlocal -ks -m 1024 -t rsa-md5 \
-D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
-A IP=192.168.13.213
Creating software private keys.
  Writing private key to file /etc/inet/secret/ike.privatekeys/0.
Enabling external key providers - done.
Acquiring private keys for signing - done.
Certificate: 
 Proceeding with the signing operation.
 Certificate generated successfully (…/publickeys/0)
Finished successfully.
Certificate added to database.
-----BEGIN X509 CERTIFICATE-----
MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX
…
6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU
-----END X509 CERTIFICATE-----

enigma 系统上命令的显示与以下信息类似：

# ikecert certlocal -ks -m 1024 -t rsa-md5 \
-D "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" \
-A IP=192.168.116.16
Creating software private keys.
  …
Certificate added to database.
-----BEGIN X509 CERTIFICATE-----
MIICKDCCAZGgAwIBAgIBATANBgkqhkiG9w0BAQQFADBJMQswCQYDVQQGEwJVUzEV
…
jpxfLM98xyFVyLCbkr3dZ3Tvxvi732BXePKF2A==
-----END X509 CERTIFICATE-----

保存证书并将它发送到远程系统。

可以将证书粘贴到电子邮件中。

例如，将以下 partym 证书发送给 enigma 管理员：

To: admin@ja.enigmaexample.com
From: admin@us.partyexample.com
Message: -----BEGIN X509 CERTIFICATE-----
MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX
…
6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU
-----END X509 CERTIFICATE-----

enigma 管理员将向您发送以下 enigma 证书：

To: admin@us.partyexample.com
From: admin@ja.enigmaexample.com
Message: -----BEGIN X509 CERTIFICATE-----
MIICKDCCAZGgAwIBAgIBATANBgkqhkiG9w0BAQQFADBJMQswCQYDVQQGEwJVUzEV
…
jpxfLM98xyFVyLCbkr3dZ3Tvxvi732BXePKF2A==
-----END X509 CERTIFICATE-----

在每个系统上，添加收到的证书。
1. 从管理员的电子邮件中复制公钥。
2. 键入 ikecert certdb -a 命令，然后按回车键。
  
  按回车键时，不显示任何提示。
  # ikecert certdb -a Press the Return key
3. 粘贴公钥。然后按回车键。要结束输入，请按 Ctrl-D 组合键。
  -----BEGIN X509 CERTIFICATE----- MIIC… … ----END X509 CERTIFICATE----- Press the Return key <Control>-D

向其他管理员核实证书是否来自该管理员。

例如，可以给其他管理员打电话，以比较公钥散列的值。在这两个系统上，共享证书的公钥散列必须是相同的。

列出在系统上存储的证书。

例如，在 partym 系统上，公共证书位于插槽 1 中，而专用证书位于插槽 0 中。

partym # ikecert certdb -l
Certificate Slot Name: 0   Type: rsa-md5 Private Key
    Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym>
    Key Size: 1024
    Public key hash: B2BD13FCE95FD27ECE6D2DCD0DE760E2

Certificate Slot Name: 1   Type: rsa-md5 Public Certificate
    (Private key in certlocal slot 0) Points to certificate's private key
    Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax>
    Key Size: 1024
    Public key hash: 2239A6A127F88EE0CB40F7C24A65B818

将此值与 enigma 系统上的公钥散列进行比较。

您可通过电话读取公钥散列。

enigma # ikecert certdb -l
Certificate Slot Name: 4   Type: rsa-md5 Private Key
    Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax>
    Key Size: 1024
    Public key hash: DF3F108F6AC669C88C6BD026B0FCE3A0

Certificate Slot Name: 5   Type: rsa-md5 Public Certificate
    (Private key in certlocal slot 4)
    Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym>
    Key Size: 1024
    Public key hash: 2239A6A127F88EE0CB40F7C24A65B818

在每个系统上，信任这两个证书。

编辑 /etc/inet/ike/config 文件以识别证书。

远程系统的管理员提供 cert_trust、remote_addr 和 remote_id 参数的值。

例如，在 partym 系统上，ike/config 文件的显示与以下信息类似：

# Explicitly trust the following self-signed certs
# Use the Subject Alternate Name to identify the cert

# Verified remote address and remote ID
# Verified public key hash per telephone call from administrator
cert_trust "192.168.13.213" Local system's certificate Subject Alt Name
cert_trust "192.168.116.16" Remote system's certificate Subject Alt Name

## Parameters that may also show up in rules.

p1_xform 
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg des }
p2_pfs 5

{
 label "US-partym to JA-enigmax"
 local_id_type dn
 local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
 remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"

 local_addr  192.168.13.213
 remote_addr 192.168.116.16

 p1_xform
  {auth_method rsa_sig oakley_group 2 auth_alg sha1 encr_alg aes}
}

在 enigma 系统上，在 ike/config 文件中添加本地参数的 enigma 值。

对于远程参数，请使用 partym 值。确保 label 关键字的值是唯一的。此值必须与远程系统的 label 值不同。

…
{
 label "JA-enigmax to US-partym"
 local_id_type dn
 local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
 remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"

 local_addr  192.168.116.16
 remote_addr 192.168.13.213
…

示例 23–4 检验来自其他管理员的证书是否有效

在此示例中，管理员使用主题名称来验证这些证书是否相同。

第一个管理员将生成和列出证书的输出保存到一个文件中。由于 ikecert 命令的输出列显到标准错误，因此管理员会将标准错误重定向到该文件。

sys1# cd /
sys1# ikecert certlocal -ks -m1024 -t rsa-md5 \
-D"C=US, O=TestCo, CN=Co2Sys" 2>/tmp/for_co2sys
Certificate added to database.
sys1# ikecert certdb -l "C=US, O=TestCo, CN=Co2Sys" 2>>/tmp/for_co2sys

管理员验证该文件的内容。

sys1# cat /tmp/for_co2sys
Creating private key.
-----BEGIN X509 CERTIFICATE-----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-----END X509 CERTIFICATE-----
Certificate Slot Name: 2   Key Type: rsa
        (Private key in certlocal slot 2)
        Subject Name: <C=US, O=TestCo, CN=Co2Sys>
        Key Size: 1024
        Public key hash: C46DE77EF09084CE2B7D9C70479D77FF

然后，管理员通过电子邮件将该文件发送给第二个管理员。

第二个管理员将该文件放在安全目录中，并从该文件导入证书。

sys2# cd /
sys2# ikecert certdb -a < /sec/co2sys

ikecert 命令只导入 -----BEGIN 和 -----END 行之间的文字。管理员验证本地证书的公钥散列是否与 co2sys 文件中的公钥散列相同。

sys2# ikecert certdb -l
Certificate Slot Name: 1   Key Type: rsa
        (Private key in certlocal slot 1)
        Subject Name: <C=US, O=TestCo, CN=Co2Sys>
        Key Size: 1024
        Public key hash: C46DE77EF09084CE2B7D9C70479D77FF

为确保第一个管理员发送了此电子邮件，第二个管理员会给第一个管理员打电话，以验证证书的主题名称。

示例 23–5 指定证书的开始时间和结束时间

在此示例中，由 partym 系统上的管理员建立证书有效日期。该证书可回溯 2 1/2 天，自创建之日起 4 年零 6 个月内有效。

# ikecert certlocal -ks -m 1024 -t rsa-md5 \
-D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
-A IP=192.168.13.213 \
-S -2d12h -F +4y6m

由 enigma 系统上的管理员建立证书有效日期。该证书可回溯 2 天，在 2010 年 12 月 31 号子夜前有效。

# ikecert certlocal -ks -m 1024 -t rsa-md5 \
-D "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" \
-A IP=192.168.116.16 \
-S -2d -F "12/31/2010 12:00 AM"