JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 管理:IP 服务     Oracle Solaris 11 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分TCP/IP 管理

1.  规划网络部署

2.  使用 IPv6 地址的注意事项

3.  配置 IPv4 网络

4.  在网络上启用 IPv6

5.  管理 TCP/IP 网络

6.  配置 IP 隧道

7.  对网络问题进行故障排除

8.  IPv4 参考

9.  IPv6 引用

第 2 部分DHCP

10.  关于 DHCP(概述)

11.  管理 ISC DHCP 服务

12.  配置和管理 DHCP 客户机

13.  DHCP 命令和文件(参考)

第 3 部分IP 安全性

14.  IP 安全体系结构(概述)

15.  配置 IPsec(任务)

16.  IP 安全体系结构(参考)

17.  Internet 密钥交换(概述)

18.  配置 IKE(任务)

19.  Internet 密钥交换(参考资料)

IKE 服务

IKE 守护进程

IKE 配置文件

ikeadm 命令

IKE 预先共享的密钥文件

IKE 公钥数据库和命令

ikecert tokens 命令

ikecert certlocal 命令

ikecert certdb 命令

ikecert certrldb 命令

/etc/inet/ike/publickeys 目录

/etc/inet/secret/ike.privatekeys 目录

/etc/inet/ike/crls 目录

20.  Oracle Solaris 中的 IP 过滤器(概述)

21.  IP 过滤器(任务)

第 4 部分网络性能

22.  集成负载平衡器概述

23.  配置集成负载平衡器(任务)

24.  虚拟路由器冗余协议(概述)

25.  VRRP 配置(任务)

26.  实施拥塞控制

第 5 部分IP 服务质量 (IP Quality of Service, IPQoS)

27.  IPQoS 介绍(概述)

28.  规划启用了 IPQoS 的网络(任务)

29.  创建 IPQoS 配置文件(任务)

30.  启动和维护 IPQoS(任务)

31.  使用流记帐和统计信息收集功能(任务)

32.  IPQoS 的详细介绍(参考)

词汇表

索引

IKE 公钥数据库和命令

ikecert 命令处理本地系统的公钥数据库。在 ike/config 文件需要公钥证书时,可以使用此命令。由于 IKE 使用这些数据库验证阶段 1 交换,因此必须在激活 in.iked 守护进程之前填充这些数据库。以下三个子命令可分别处理三种数据库中的其中一种: certlocalcertdbcertrldb

ikecert 命令还处理密钥存储。密钥可以存储在磁盘上、连接的 Sun Crypto Accelerator 6000 板上或 softtoken 密钥库中。当加密框架中的 metaslot 用于和硬件设备进行通信时,softtoken 密钥库是可用的。ikecert 命令使用 PKCS #11 库定位密钥存储。

有关更多信息,请参见 ikecert(1M) 手册页。有关 metaslot 以及 softtoken 密钥库的信息,请参见 cryptoadm(1M) 手册页。

ikecert tokens 命令

tokens 参数列出可用的标记 ID。使用标记 ID,ikecert certlocalikecert certdb 命令可以生成公钥证书和证书请求。证书和证书请求也可以由加密框架存储在 softtoken 密钥库中或存储在连接的 Sun Crypto Accelerator 6000 板上。ikecert 命令使用 PKCS #11 库定位证书存储。

ikecert certlocal 命令

certlocal 子命令管理私钥数据库。使用此子命令的选项,可以添加、查看和删除私钥。此子命令还用于创建自签名的证书或证书请求。-ks 选项用于创建自签名的证书。-kc 选项用于创建证书请求。密钥存储在系统的 /etc/inet/secret/ike.privatekeys 目录中,或者通过 -T 选项存储在连接的硬件上。

创建私钥时,ikecert certlocal 命令的选项必须在 ike/config 文件中具有相关项。ikecert 选项和 ike/config 项之间的对应关系如下表所示。

表 19-1 ikecert 选项和 ike/config 项之间的对应关系

ikecert 选项
ike/config
说明
-A subject-alternate-name
cert_trust subject-alternate-name
唯一标识证书的别名。可能的值是 IP 地址、电子邮件地址或域名。
-D X.509-distinguished-name
X.509-distinguished-name
证书颁发机构的完整名称,包括国家/地区 (C)、组织名称 (ON)、组织单元 (OU) 和公用名称 (CN)。
-t dsa-sha1
auth_method dsa_sig
一种速度比 RSA 稍慢的验证方法。
-t rsa-md5

-t rsa-sha1

auth_method rsa_sig
一种速度比 DSA 稍快的验证方法。

RSA 公钥必须大到足以加密最大的 payload(有效负荷)。通常,标识有效负荷(如 X.509 标识名)是最大的有效负荷。

-t rsa-md5

-t rsa-sha1

auth_method rsa_encrypt
RSA 加密防止窃听者知道 IKE 中的标识,但是要求 IKE 对等方知道彼此的公钥。

如果使用 ikecert certlocal -kc 命令发出证书请求,则会将该命令的输出发送到 PKI 组织或证书颁发机构 (certificate authority, CA)。如果您的公司运行自己的 PKI,则会将输出发送到 PKI 管理员。然后,PKI 组织、CA 或 PKI 管理员将创建证书。PKI 或 CA 返回给您的证书是 certdb 子命令的输入。PKI 返回给您的证书撤销列表 (certificate revocation list, CRL) 是 certrldb 子命令的输入。

ikecert certdb 命令

certdb 子命令管理公钥数据库。使用此子命令的选项,可以添加、查看以及删除证书和公钥。该命令将 ikecert certlocal -ks 命令在远程系统上生成的证书作为输入接受。有关过程,请参见如何使用自签名的公钥证书配置 IKE。此命令还将您从 PKI 或 CA 接收的证书接受为输入。有关过程,请参见如何使用 CA 签名的证书配置 IKE

证书和公钥存储在系统的 /etc/inet/ike/publickeys 目录中。-T 选项在连接的硬件上存储证书、私钥和公钥。

ikecert certrldb 命令

certrldb 子命令管理证书撤销列表 (certificate revocation list, CRL) 数据库 /etc/inet/ike/crls。CRL 数据库维护公钥的撤销列表。不再有效的证书包含在此列表中。当 PKI 为您提供 CRL 时,您可以使用 ikecert certrldb 命令在 CRL 数据库中安装 CRL。有关过程,请参见如何处理证书撤销列表

/etc/inet/ike/publickeys 目录

/etc/inet/ike/publickeys 目录将公钥/私钥对的公钥部分及其证书包含在文件或插槽中。按 0755 保护该目录。ikecert certdb 命令填充该目录。-T 选项将密钥存储在 Sun Crypto Accelerator 6000 板上,而不是存储在 publickeys 目录中。

插槽以编码形式包含在其他系统上生成的证书的 X.509 标识名。如果使用自签名的证书,则将从远程系统管理员处接收的证书用作该命令的输入。如果使用来自 CA 的证书,则将两个签名证书从 CA 安装到此数据库中。将安装一个基于发送到 CA 的证书签名请求的证书。也安装 CA 的证书。

/etc/inet/secret/ike.privatekeys 目录

/etc/inet/secret/ike.privatekeys 目录中存储属于公钥/私钥对一部分的私钥文件。按 0700 保护该目录。ikecert certlocal 命令填充 ike.privatekeys 目录。在安装其对应公钥、自签名的证书或 CA 后,私钥才生效。对应公钥存储在 /etc/inet/ike/publickeys 目录中,或存储在支持的硬件上。

/etc/inet/ike/crls 目录

/etc/inet/ike/crls 目录包含证书撤销列表 (certificate revocation list, CRL) 文件。每个文件都对应于 /etc/inet/ike/publickeys 目录中的公共证书文件。PKI 组织为其证书提供 CRL。可以使用 ikecert certrldb 命令填充数据库。