| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Guide d'administration système : services IP |
Partie I Introduction à l'administration système : services IP
1. Suite de protocoles réseau TCP/IP Oracle Solaris (présentation)
Partie II Administration TCP/IP
2. Planification de votre réseau TCP/IP (tâches)
4. Planification d'un réseau IPv6 (tâches)
5. Configuration des services réseau TCP/IP et de l'adressage IPv4 (tâches)
6. Administration d'interfaces réseau (tâches)
7. Configuration d'un réseau IPv6 (tâches)
8. Gestion d'un réseau TCP/IP (tâches)
9. Dépannage des problèmes de réseau (tâches)
10. Présentation détaillée de TCP/IP et IPv4 (référence)
11. Présentation détaillée de IPv6 (référence)
12. À propos de DHCP (présentation)
13. Planification pour le service DHCP (liste des tâches)
14. Configuration du service DHCP (tâches)
15. Administration de DHCP (tâches)
16. Configuration et administration du client DHCP
17. Résolution des problèmes DHCP (référence)
18. Commandes et fichiers DHCP (référence)
19. Architecture IPsec (présentation)
20. Configuration d'IPsec (tâches)
21. Architecture IPsec (référence)
22. Protocole IKE (présentation)
23. Configuration du protocole IKE (tâches)
Utilitaire de gestion du service IKE
Commande d'administration du protocole IKE
Fichiers de clés prépartagées IKE
Commandes et bases de données de clés publiques IKE
Répertoire /etc/inet/ike/publickeys
25. IP Filter dans Oracle Solaris (présentation)
28. Administration de Mobile IP (tâches)
29. Fichiers et commandes de Mobile IP (références)
31. Administration d'IPMP (tâches)
Partie VII Qualité de service IP (IPQoS)
32. Présentation d'IPQoS (généralités)
33. Planification d'un réseau IPQoS (tâches)
34. Création du fichier de configuration IPQoS (tâches)
35. Démarrage et maintenance d'IPQoS (tâches)
36. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
La commande ikecert permet de manipuler les bases de données de clés publiques du système local. Utilisez-la lorsque le fichier ike/config requiert des certificats de clés publiques. Ces bases de données étant utilisées par IKE pour authentifier la phase 1 de l'échange, elles doivent être alimentées avant l'activation du démon in.iked. Trois sous-commandes permettent de gérer chacune des trois bases de données : certlocal, certdb et certrldb.
La commande ikecert permet aussi de gérer le stockage des clés. Elles peuvent être stockées sur disque, sur une carte Sun Crypto Accelerator 6000 ou &sca 4; connectée, ou dans un fichier keystore de clés softtoken. Ce fichier est disponible lorsque le metaslot de la structure cryptographique de Solaris est utilisé pour communiquer avec le matériel. La commande ikecert utilise la bibliothèque PKCS #11 pour localiser le lieu de stockage des clés.
Solaris 10 1/06 : à partir de cette version, il est inutile de spécifier la bibliothèque. Par défaut, la bibliothèque PKCS #11 est /usr/lib/libpkcs11.so.
Solaris 10 : dans cette version, il est nécessaire de spécifier l'entrée de PKCS #11. pour que l'option -T de la commande ikecert fonctionne. Cette entrée se présente de la manière suivante :
pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"
Pour plus d'informations, consultez la page de manuel ikecert(1M) Pour plus d'informations sur le metaslot et sur le fichier keystore de clés softtoken, reportez-vous à la page de manuel cryptoadm(1M).
L'argument tokens répertorie les ID de jetons disponibles. Les ID de jetons permettent aux commandes ikecert certlocal et ikecert certdb de générer des certificats de clés publiques et des demandes de certificats. Ces certificats et demandes de certificats peuvent également être stockés par la structure cryptographique dans le fichier keystore de clés softtoken ou sur une carte Sun Crypto Accelerator 6000 ou &sca 4; connectée. La commande ikecert utilise la bibliothèque PKCS #11 pour déterminer l'emplacement de stockage des certificats.
La sous-commande certlocal gère la base de données des clés privées. Les options de cette sous-commande permettent d'ajouter, d'afficher et de supprimer des clés privées. Cette sous-commande permet également de créer un certificat autosigné ou une demande de certificat. L'option -ks crée un certificat autosigné et l'option-kc une demande de certificat. Les clés sont stockées sur le système, dans le répertoire /etc/inet/secret/ike.privatekeys, ou sur un composant matériel connecté (option -T).
Lorsque vous créez une clé privée, les options de la commande ikecert certlocal doivent avoir des entrées connexes dans le fichier ike/config. Le tableau ci-dessous détaille les correspondances entre les options ikecert et les entrées ike/config.
Tableau 24-1 Correspondances entre les options ikecert et les entrées ike/config
|
Lorsque vous émettez une demande de certificat à l'aide de la commande ikecert certlocal -kc, vous envoyez la sortie de cette commande à un fournisseur de PKI ou à une AC. Si votre entreprise possède sa propre PKI, vous envoyez cette sortie à votre administrateur de PKI. Le fournisseur de PKI, l'AC ou votre administrateur de PKI crée alors les certificats. Ceux qui vous sont transmis par le fournisseur de PKI ou l'AC sont entrés dans la sous-commande certdb. La liste de révocation de certificats (LRC) que le fournisseur de PKI vous envoie est entrée dans la sous-commande certrldb.
La sous-commande certdb gère la base de données des clés publiques. Les options de cette sous-commande vous permettent d'ajouter, d'afficher et de supprimer des certificats et des clés publiques. Cette sous-commande accepte l'entrée de certificats générés par la commande ikecert certlocal -ks sur un système distant. Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration du protocole IKE avec des certificats de clés publiques autosignés. Cette commande accepte également l'entrée de certificats émanant de fournisseurs PKI ou d'AC. Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration du protocole IKE avec des certificats signés par une AC.
Les certificats et les clés publiques sont stockés sur le système, dans le répertoire /etc/inet/ike/publickeys . L'option -T permet de stocker les certificats, les clés privées et les clés publiques sur les composants matériels connectés.
La sous-commande certrldb gère la base de données des listes de révocation de certificats (LRC), /etc/inet/ike/crls. Cette base de données met à jour les listes de révocation des clés publiques. Les certificats qui ne sont plus valides figurent dans ces listes. Lorsqu'un fournisseur de PKI vous fait parvenir une LRC, vous pouvez l'installer dans cette base de données à l'aide de la commande ikecert certrldb. Pour plus d'informations sur cette procédure, reportez-vous à la section Traitement des listes de révocation de certificats.
Le répertoire /etc/inet/ike/publickeys contient la partie publique des biclés et leur certificat, qui sont stockés dans des fichiers ou à des emplacements. Ce répertoire est protégé en mode 0755 et peut être alimenté à l'aide de la commande ikecert certdb. L'option -T permet de stocker les clés sur une carte Sun Crypto Accelerator 6000 ou &sca 4; plutôt que dans le répertoire publickeys.
Les emplacements contiennent, sous forme chiffrée, le nom distinctif X.509 des certificats qui ont été générés sur un autre système. Si vous utilisez des certificats autosignés, vous devez indiquer le certificat que l'administrateur du système distant vous a envoyé comme entrée de commande. Si vous utilisez des certificats d'une AC, vous installez deux certificats signés d'une AC dans la base de données. Vous installez un certificat basé sur la requête de signature de certificat envoyée à l'AC. Vous installez également un certificat de l'AC.
Le répertoire /etc/inet/secret/ike.privatekeys contient des fichiers de clés privées qui font partie de biclés, c'est-à-dire les numéros de clé des SA ISAKMP. Ce répertoire est protégé en mode 0700. La commande ikecert certlocal permet d'alimenter le répertoire ike.privatekeys. Les clés privées sont effectives uniquement lors de l'installation de leur clé publique homologue, de certificats autosignés ou de certificats AC. Les clés publiques homologues sont stockées dans le répertoire /etc/inet/ike/publickey s ou sur une carte Sun Crypto Accelerator 6000 ou &sca 4;.
Le répertoire /etc/inet/ike/crls contient les fichiers des listes de révocation de certificats (LRC). Chaque fichier correspond à un fichier de certificat public du répertoire /etc/inet/ike/publickeys. Les fournisseurs de PKI fournissent les LRC correspondant à leurs certificats. La commande ikecert certrldb permet d'alimenter la base de données.
|