Oracle® Solaris 11.2의 네트워크 보안

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

IKEv2 공개 키 인증서에 대한 키 저장소를 만들고 사용하는 방법

IKEv2와 함께 공개 인증서를 사용하려는 경우 키 저장소를 만들어야 합니다. 키 저장소를 사용하려면 키 저장소에 로그인해야 합니다. in.ikev2d 데몬이 시작되면 데몬에 PIN을 사용자가 제공하거나 자동 프로세스에서 제공합니다. 사이트 보안에서 자동 로그인을 허용하는 경우 자동 로그인을 구성해야 합니다. 기본값은 키 저장소를 사용하는 대화식 로그인입니다.

시작하기 전에

Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 프로파일 셸에서 입력해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

  1. IKEv2 키 저장소에 대한 PIN을 설정합니다.

    ikev2cert setpin 명령을 사용하여 IKEv2 키 저장소를 만듭니다. 이 명령은 PKCS #11 키 저장소의 소유자를 ikeuser로 설정합니다.

    PIN에 공백을 사용하지 마십시오. 예를 들어, 값 WhatShouldIWrite는 유효하지만 값 "What Should"는 유효하지 않습니다.

    %  pfbash
# /usr/sbin/ikev2cert setpin
Enter token passphrase: changeme
Create new passphrase: Type strong passphrase
Re-enter new passphrase: xxxxxxxx
Passphrase changed.
    Caution

    주의  -  이 문장암호를 안전한 위치에 저장하십시오. 키 저장소를 사용하려면 필요합니다.

  2. 키 저장소에 자동으로 또는 대화식으로 로그인합니다.

    자동 로그인을 사용하는 것이 좋습니다. 사이트 보안 정책에서 자동 로그인을 허용하지 않는 경우 in.ikev2d 데몬이 다시 시작될 때 키 저장소에 대화식으로 로그인해야 합니다.

    • 키 저장소를 구성하여 자동 로그인을 사용으로 설정합니다.
      1. PIN을 pkcs11_softtoken/pin 서비스 등록 정보의 값으로 추가합니다. 
        # svccfg -s ike:ikev2 editprop

        임시 편집 창이 열립니다.

      2. setprop pkcs11_token/pin = 행의 주석 처리를 해제합니다. 
        # setprop pkcs11_token/pin = astring: () Original entry
setprop pkcs11_token/pin = astring: () Uncommented entry
      3. 괄호를 Step 1의 PIN으로 대체합니다. 
        setprop pkcs11_token/pin = astring: PIN-from-Step-1

        콜론과 PIN 사이에 공백을 그대로 둡니다.

      4. 파일 맨 아래의 refresh 행을 주석 해제한 다음 변경 사항을 저장합니다. 
        # refresh
refresh
      5. (옵션) pkcs11_token/pin 등록 정보의 값을 확인합니다.

        pkcs11_token/pin 등록 정보에는 ikeuser가 소유하는 키 저장소에 액세스할 때 확인되는 값이 포함됩니다.

        # svccfg -s ike:ikev2 listprop pkcs11_token/pin
pkcs11_token/pin     astring  PIN
    • 자동 키 저장소 로그인을 구성하지 않은 경우 키 저장소에 수동으로 로그인합니다.

      in.ikev2d 데몬이 시작될 때마다 이 명령을 실행합니다.

      # pfbash
# ikeadm -v2 token login "Sun Metaslot"
Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1
ikeadm: PKCS#11 operation successful
  3. (옵션) 키 저장소에서 PIN이 설정되었는지 확인합니다. 
    # ikev2cert tokens
Flags: L=Login required  I=Initialized  X=User PIN expired  S=SO PIN expired
Slot ID     Slot Name                   Token Name                        Flags 
-------     ---------                   ----------                        ----- 
1           Sun Crypto Softtoken        Sun Software PKCS#11 softtoken    LI

    Flags 열에 LI가 있으면 PIN이 설정된 것입니다.

  4. pkcs11_softtoken에서 수동으로 로그아웃하려면 ikeadm 명령을 사용합니다. 
    # ikeadm -v2 token logout "Sun Metaslot"
ikeadm: PKCS#11 operation successful

    로그아웃하여 두 사이트 간의 통신을 유한 기간으로 제한할 수 있습니다. 로그아웃하면 개인 키를 사용할 수 없게 되므로 새 IKEv2 세션을 시작할 수 없습니다. 기존 IKEv2 세션은 ikeadm delete ikesa 명령으로 세션 키를 삭제하지 않는 한 계속됩니다. 미리 공유한 키 규칙은 계속 작동합니다. ikeadm(1M) 매뉴얼 페이지를 참조하십시오.

Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음