많은 수의 통신 시스템을 보호하는 조직은 일반적으로 CA(인증 기관)에서 발행한 공개 인증서를 사용합니다. 배경 정보는 IKE와 공개 키 인증서를 참조하십시오.
이 절차는 CA의 인증서를 사용하는 모든 IKE 시스템에서 수행합니다.
시작하기 전에
인증서를 사용하려면 IKEv2 공개 키 인증서에 대한 키 저장소를 만들고 사용하는 방법을 완료해야 합니다.
Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 프로파일 셸에서 입력해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.
다음 오류 메시지는 CSR 파일을 디스크에 쓸 수 없음을 나타낼 수 있습니다.
Warning: error accessing "CSR-file"
예를 들어, /tmp 디렉토리를 사용합니다.
# cd /tmp
ikev2cert gencsr 명령을 사용하여 CSR(인증서 서명 요청)을 만듭니다. 명령의 인수에 대한 설명은 pktool(1) 매뉴얼 페이지에서 pktool gencsr keystore=pkcs11 하위 명령을 검토하십시오.
예를 들어, 다음 명령은 partym 시스템에 대한 CSR을 포함하는 파일을 만듭니다.
# pfbash # /usr/sbin/ikev2cert gencsr \ keytype=rsa keylen=2048 label=Partym1 \ outcsr=/tmp/Partymcsr1 \ subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx
# cat /tmp/Partymcsr1 -----BEGIN CERTIFICATE REQUEST----- MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q 3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1 GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw -----END CERTIFICATE REQUEST-----
CA에서 CSR을 제출하는 방법을 알려 줄 수 있습니다. 대부분 조직에는 제출 양식을 제공하는 웹 사이트가 있습니다. 양식을 사용하려면 제출이 적합한지 증명해야 합니다. 일반적으로 양식에 CSR을 붙여 넣습니다.
ikev2cert import는 인증서를 키 저장소로 가져옵니다.
# ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert
# ikev2cert import objtype=cert infile=/tmp/Partym1CAcert
CA에서 각 중간 인증서의 파일을 별도로 보낸 경우 앞의 인증서를 가져올 때처럼 파일을 가져옵니다. 그러나 CA에서 인증서 체인을 PKCS#7 파일로 제공하는 경우에는 파일에서 개별 인증서를 추출한 다음 앞의 인증서를 가져올 때처럼 각 인증서를 가져와야 합니다.
# openssl pkcs7 -in pkcs7-file -print_certs # ikev2cert import objtype=cert label=Partym1 infile=individual-cert
인증서에 CRL 또는 OCSP에 대한 섹션이 포함된 경우 사이트 요구 사항에 따라 인증서 검증 정책을 구성해야 합니다. 지침은 IKEv2에서 인증서 검증 정책을 설정하는 방법을 참조하십시오.
피어 시스템에는 trust anchor(트러스트 앵커) 인증서 및 구성된 ikev2.config 파일이 필요합니다.
다음 단계
IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.