CA가 서명한 인증서로 IKEv2를 구성하는 방법

많은 수의 통신 시스템을 보호하는 조직은 일반적으로 CA(인증 기관)에서 발행한 공개 인증서를 사용합니다. 배경 정보는 IKE와 공개 키 인증서를 참조하십시오.

이 절차는 CA의 인증서를 사용하는 모든 IKE 시스템에서 수행합니다.

시작하기 전에

인증서를 사용하려면 IKEv2 공개 키 인증서에 대한 키 저장소를 만들고 사용하는 방법을 완료해야 합니다.

Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 프로파일 셸에서 입력해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.

1. 쓰기 가능한 디렉토리로 변경합니다.

   다음 오류 메시지는 CSR 파일을 디스크에 쓸 수 없음을 나타낼 수 있습니다.

   Warning: error accessing "CSR-file"

   예를 들어, /tmp 디렉토리를 사용합니다.

   # cd /tmp

2. 인증서 서명 요청을 만듭니다.

   ikev2cert gencsr 명령을 사용하여 CSR(인증서 서명 요청)을 만듭니다. 명령의 인수에 대한 설명은 pktool(1) 매뉴얼 페이지에서 pktool gencsr keystore=pkcs11 하위 명령을 검토하십시오.

   예를 들어, 다음 명령은 partym 시스템에 대한 CSR을 포함하는 파일을 만듭니다.

   # pfbash
   # /usr/sbin/ikev2cert gencsr \
   keytype=rsa
   keylen=2048
   label=Partym1 \
   outcsr=/tmp/Partymcsr1 \
   subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym"
   Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx

3. (옵션) CA의 웹 양식에 붙여 넣기 위해 CSR의 내용을 복사합니다.

   # cat /tmp/Partymcsr1
   -----BEGIN CERTIFICATE REQUEST-----
   MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu
   eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi
   MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb
   WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA
   jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH
   bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q
   3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH
   nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB
   AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1
   GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt
   kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB
   JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB
   Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO
   E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw
   -----END CERTIFICATE REQUEST-----
   

4. CSR을 certificate authority(CA, 인증 기관)에 제출합니다.

   CA에서 CSR을 제출하는 방법을 알려 줄 수 있습니다. 대부분 조직에는 제출 양식을 제공하는 웹 사이트가 있습니다. 양식을 사용하려면 제출이 적합한지 증명해야 합니다. 일반적으로 양식에 CSR을 붙여 넣습니다.

   ---

   팁  -  일부 웹 양식에는 인증서를 붙여 넣을 수 있는 고급 버튼이 있습니다. CSR은 PKCS#10 형식으로 생성됩니다. 따라서 웹 양식에서 PKCS#10을 언급하는 부분을 찾으십시오.

   ---

5. CA에서 받는 각 인증서를 키 저장소로 가져옵니다.

   ikev2cert import는 인증서를 키 저장소로 가져옵니다.

   1. CA에서 받은 인증서와 공개 키를 가져옵니다.

      # ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert

      ---

      팁  -  관리하기 편하도록 원래 CSR의 레이블과 동일한 레이블을 가져온 인증서에 지정하십시오.

      ---

   2. CA에서 루트 인증서를 가져옵니다.

      # ikev2cert import objtype=cert infile=/tmp/Partym1CAcert

   3. 중간 CA 인증서를 키 저장소로 가져옵니다.

      ---

      팁  -  관리하기 편하도록 원래 CSR의 레이블과 동일한 레이블을 가져온 중간 인증서에 지정하십시오.

      ---

      CA에서 각 중간 인증서의 파일을 별도로 보낸 경우 앞의 인증서를 가져올 때처럼 파일을 가져옵니다. 그러나 CA에서 인증서 체인을 PKCS#7 파일로 제공하는 경우에는 파일에서 개별 인증서를 추출한 다음 앞의 인증서를 가져올 때처럼 각 인증서를 가져와야 합니다.

      ---

      주 -  openssl 명령을 실행하려면 root 역할이 있어야 합니다. openssl(5) 매뉴얼 페이지를 참조하십시오.

      ---

      # openssl pkcs7 -in pkcs7-file -print_certs
      # ikev2cert import objtype=cert label=Partym1 infile=individual-cert

6. 인증서 검증 정책을 설정합니다.

   인증서에 CRL 또는 OCSP에 대한 섹션이 포함된 경우 사이트 요구 사항에 따라 인증서 검증 정책을 구성해야 합니다. 지침은 IKEv2에서 인증서 검증 정책을 설정하는 방법을 참조하십시오.

7. 인증서를 사용하는 모든 IKE 시스템에서 절차를 완료한 후 모든 시스템에서 ikev2 서비스를 사용으로 설정합니다.

   피어 시스템에는 trust anchor(트러스트 앵커) 인증서 및 구성된 ikev2.config 파일이 필요합니다.

다음 단계

IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.