Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios IP |
Parte I Introducción a la administración del sistema: servicios IP
1. Conjunto de protocolos TCP/IP de Oracle Solaris (descripción general)
Parte II Administración de TCP/IP
2. Planificación de la red TCP/IP (tareas)
3. Introducción a IPv6 (descripción general)
4. Planificación de una red IPv6 (tareas)
5. Configuración de servicios de red TCP/IP y direcciones IPv4 (tareas)
6. Administración de interfaces de red (tareas)
7. Configuración de una red IPv6 (tareas).
8. Administración de redes TCP/IP (tareas)
9. Resolución de problemas de red (Tareas)
10. Descripción detallada de TCP/IP e IPv4 (referencia)
11. IPv6 en profundidad (referencia)
12. Acerca de DHCP (descripción general)
13. Planificación del servicio DHCP (tareas)
14. Configuración del servicio DHCP (tareas)
15. Administración de DHCP (tareas)
16. Configuración y administración del cliente DHCP
17. Solución de problemas de DHCP (referencia)
18. Comandos y archivos DHCP (referencia)
19. Arquitectura de seguridad IP (descripción general)
20. Configuración de IPsec (tareas)
21. Arquitectura de seguridad IP (referencia)
22. Intercambio de claves de Internet (descripción general)
23. Configuración de IKE (tareas)
24. Intercambio de claves de Internet (referencia)
Utilidad de gestión de servicios de IKE
Comando de administración de IKE
Archivos de claves IKE previamente compartidas
Comandos y bases de datos de claves públicas IKE
Directorio /etc/inet/ike/publickeys
25. Filtro IP en Oracle Solaris (descripción general)
27. IP para móviles (Descripción general)
28. Administración de IP móvil (tareas)
29. Archivos y comandos de IP para móviles (referencia)
30. Introducción a IPMP (descripción general)
31. Administración de IPMP (tareas)
Parte VII Calidad de servicio IP (IPQoS)
32. Introducción a IPQoS (Descripción general)
33. Planificación para una red con IPQoS (Tareas)
34. Creación del archivo de configuración IPQoS (Tareas)
35. Inicio y mantenimiento de IPQoS (Tareas)
36. Uso de control de flujo y recopilación de estadísticas (Tareas)
El comando ikecert administra las bases de datos de claves públicas del sistema local. Este comando se utiliza cuando el archivo ike/config requiere certificados de claves públicas. Dado que IKE utiliza estas bases de datos para autenticar el intercambio de fase 1, las bases de datos deben rellenarse antes de activar el daemon in.iked. Existen tres subcomandos que administran las tres bases de datos: certlocal, certdb y certrldb.
El comando ikecert también administra el almacenamiento de claves. Las claves se pueden almacenar en disco, en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun, o bien en un almacén de claves softtoken. El almacén de claves softtoken está disponible cuando la metarranura de la estructura criptográfica de Solaris se utilice para comunicarse con el dispositivo de hardware. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de claves.
Solaris 10 1/06: a partir de esta versión, no es preciso especificar la biblioteca. De modo predeterminado, la biblioteca PKCS #11 es /usr/lib/libpkcs11.so.
Solaris 10: en esta versión, debe especificarse la entrada PKCS #11. De lo contrario, la opción -T del comando ikecert no funcionará. La entrada tiene el siguiente aspecto:
pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"
Para obtener más información, consulte la página del comando man ikecert(1M) Para obtener información sobre la metarranura y el almacén de claves softtoken, consulte la página del comando man cryptoadm(1M).
El argumento tokens enumera los ID de testigo que están disponibles. Los ID de símbolo permiten a los comandos ikecert certlocal e ikecert certdb generar certificados de claves públicas y solicitudes de certificados. Las certificados y las solicitudes de certificados también se pueden almacenar mediante la estructura criptográfica del almacén de claves softtoken, o bien en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de certificados.
El subcomando certlocal administra la base de datos de claves privadas. Las opciones de este subcomando permiten agregar, ver y eliminar claves privadas. Este subcomando también crea un certificado autofirmado o una solicitud de certificado. La opción -ks crea un certificado autofirmado. La opción -kc crea una solicitud de certificado. Las claves se almacenan en el directorio /etc/inet/secret/ike.privatekeys del sistema o en el hardware conectado con la opción -T.
Al crear una clave privada, las opciones del comando ikecert certlocal deben tener entradas relacionadas en el archivo ike/config. La tabla siguiente muestra las correspondencias entre las opciones ikecert y las entradas ike/config.
Tabla 24-1 Correspondencias entre las opciones ikecert y las entradas ike/config
|
Si emite una solicitud de certificado con el comando ikecert certlocal -kc, envía el resultado del comando a una organización de PKI o a una autoridad de certificación. Si su compañía ejecuta su propio PKI, el resultado se envía al administrador de PKI. A continuación, la organización de PKI, la autoridad de certificación o el administrador de PKI crea los certificados. Los certificados que devuelve el PKI o la autoridad de certificación se incluyen en el subcomando certdb. La lista de revocación de certificados (CRL) que devuelve el PKI se incluye en el subcomando certrldb.
El subcomando certdb administra la base de datos de claves públicas. Las opciones de este subcomando permiten agregar, ver y eliminar certificados y claves públicas. El comando acepta como entrada los certificados generados con el comando ikecert certlocal -ks en un sistema remoto. Para conocer el procedimiento, consulte Cómo configurar IKE con certificados de clave pública autofirmados. Este comando también acepta el certificado que recibe de un PKI o una autoridad de certificación. Para conocer el procedimiento, consulte Cómo configurar IKE con certificados firmados por una autoridad de certificación.
Los certificados y las claves públicas se almacenan en el directorio /etc/inet/ike/publickeys del sistema. La opción -T almacena los certificados, las claves privadas y las claves públicas del hardware conectado.
El subcomando certrldb administra la base de datos de listas de revocación de certificados (CRL), /etc/inet/ike/crls. La base de datos de CRL mantiene las listas de revocación para las claves públicas. En esta lista se incluyen los certificados que dejan de ser válidos. Cuando los PKI proporcionan una CRL, puede instalar la CRL en la base de datos de CRL con el comando ikecert certrldb. Para conocer el procedimiento, consulte Cómo administrar una lista de revocación de certificados.
El directorio /etc/inet/ike/publickeys contiene la parte pública de un par de claves pública-privada y su certificado en los archivos, o ranuras. El directorio se protege en 0755 . El comando ikecert certdb rellena el directorio. La opción -T almacena las claves en la placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun en lugar del directorio publickeys.
Las ranuras contienen, de modo codificado, el nombre distinguido X.509 de un certificado generado en otro sistema. Si está utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si está utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de ésta en la base de datos. Se instala un certificado que está basado en la solicitud de firma de certificado que envió a la entidad certificadora (CA). También se instala un certificado de la entidad certificadora (CA).
El directorio /etc/inet/secret/ike.privatekeys contiene archivos de claves privadas que forman parte del par de claves pública-privada, que constituye material de claves para las asociaciones de seguridad de ISAKMP. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves públicas, certificados autofirmados o autoridades de certificación. Los equivalentes de claves públicas se almacenan en el directorio /etc/inet/ike/publickeys o en una placa &sca 4; o Crypto Accelerator 6000 de Sun.
El directorio /etc/inet/ike/crls contiene archivos de lista de revocación de certificados (CRL). Cada archivo corresponde a un archivo de certificado público del directorio /etc/inet/ike/publickeys. Las organizaciones de PKI proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.