ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語) |
3. Web サーバーと Secure Sockets Layer プロトコル
4. Oracle Solaris の IP フィルタ (概要)
8. IP セキュリティーアーキテクチャー (リファレンス)
公開鍵証明書は接続されたハードウェア上にも格納できます。Sun Crypto Accelerator 6000 ボードによってストレージが提供され、公開鍵の操作をシステムからこのボードにオフロードできます。
始める前に
次の手順では、Sun Crypto Accelerator 6000 ボードがシステムに接続されていると仮定します。さらに、ボードに必要なソフトウェアがすでにインストールされ、構成されているものとします。手順については、Sun Crypto Accelerator 6000 Board Version 1.1 User's Guideを参照してください。
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
リモートからログインする場合、セキュアなリモートログイン用の ssh コマンドを使用してください。例については、例 7-1 を参照してください。
IKE はライブラリのルーチンを使用して、Sun Crypto Accelerator 6000 ボード上で鍵の生成および鍵の格納を処理します。PKCS #11 ライブラリがリンクされていることを確認するには、次のコマンドを実行します。
$ ikeadm get stats … PKCS#11 library linked in from /usr/lib/libpkcs11.so $
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
ライブラリは、32 文字のトークン ID (キーストア名 とも呼ぶ) を戻します。この例では、ikecert コマンドに Sun Metaslot トークンを使用すると、IKE 鍵を格納および高速化できます。
トークンを使用する手順については、「ハードウェアで公開鍵証明書を生成および格納する方法」を参照してください。
ikecert コマンドにより、後続スペースが自動的に付加されます。
例 10-8 メタスロットトークンの検索と使用
トークンは、ディスク、接続されたボード、または暗号化フレームワークが提供するソフトトークンキーストアに格納できます。次に、ソフトトークンキーストアのトークン ID の例を示します。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
ソフトトークンキーストアのパスフレーズを作成する方法については、pktool(1) のマニュアルページを参照してください。
次に、ソフトトークンキーストアに証明書を追加するコマンドの例を示します。Sun.Metaslot.cert は、CA 証明書を格納しているファイルです。
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
次の手順
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。