IKEv2와 함께 공개 인증서를 사용하려는 경우 키 저장소를 만들어야 합니다. 키 저장소를 사용하려면 키 저장소에 로그인해야 합니다. in.ikev2d 데몬이 시작되면 데몬에 PIN을 사용자가 제공하거나 자동 프로세스에서 제공합니다. 사이트 보안에서 자동 로그인을 허용하는 경우 자동 로그인을 구성해야 합니다. 기본값은 키 저장소를 사용하는 대화식 로그인입니다.
시작하기 전에
Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 프로파일 셸에서 입력해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
ikev2cert setpin 명령을 사용하여 IKEv2 키 저장소를 만듭니다. 이 명령은 PKCS #11 키 저장소의 소유자를 ikeuser로 설정합니다.
PIN에 공백을 사용하지 마십시오. 예를 들어, 값 WhatShouldIWrite는 유효하지만 값 "What Should"는 유효하지 않습니다.
% pfbash # /usr/sbin/ikev2cert setpin Enter token passphrase: changeme Create new passphrase: Type strong passphrase Re-enter new passphrase: xxxxxxxx Passphrase changed.
주의 - 이 문장암호를 안전한 위치에 저장하십시오. 키 저장소를 사용하려면 필요합니다. |
자동 로그인을 사용하는 것이 좋습니다. 사이트 보안 정책에서 자동 로그인을 허용하지 않는 경우 in.ikev2d 데몬이 다시 시작될 때 키 저장소에 대화식으로 로그인해야 합니다.
# svccfg -s ike:ikev2 editprop
임시 편집 창이 열립니다.
# setprop pkcs11_token/pin = astring: () Original entry setprop pkcs11_token/pin = astring: () Uncommented entry
setprop pkcs11_token/pin = astring: PIN-from-Step-1
콜론과 PIN 사이에 공백을 그대로 둡니다.
# refresh refresh
pkcs11_token/pin 등록 정보에는 ikeuser가 소유하는 키 저장소에 액세스할 때 확인되는 값이 포함됩니다.
# svccfg -s ike:ikev2 listprop pkcs11_token/pin pkcs11_token/pin astring PIN
in.ikev2d 데몬이 시작될 때마다 이 명령을 실행합니다.
# pfbash # ikeadm -v2 token login "Sun Metaslot" Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1 ikeadm: PKCS#11 operation successful
# ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
Flags 열에 LI가 있으면 PIN이 설정된 것입니다.
# ikeadm -v2 token logout "Sun Metaslot" ikeadm: PKCS#11 operation successful
로그아웃하여 두 사이트 간의 통신을 유한 기간으로 제한할 수 있습니다. 로그아웃하면 개인 키를 사용할 수 없게 되므로 새 IKEv2 세션을 시작할 수 없습니다. 기존 IKEv2 세션은 ikeadm delete ikesa 명령으로 세션 키를 삭제하지 않는 한 계속됩니다. 미리 공유한 키 규칙은 계속 작동합니다. ikeadm(1M) 매뉴얼 페이지를 참조하십시오.