공개 키 인증서를 연결된 하드웨어에 저장할 수도 있습니다. Sun Crypto Accelerator 6000 보드는 저장소를 제공하고 공개 키 작업이 시스템에서 보드로 오프로드될 수 있도록 합니다.
공개 키 인증서를 생성하여 하드웨어에 저장하는 작업은 시스템에서 공개 키 인증서를 생성하여 저장하는 작업과 유사합니다. 하드웨어에서 ikev2cert gencert token=hw-keystore 명령을 사용하여 하드웨어 키 저장소를 식별할 수 있습니다.
시작하기 전에
이 절차에서는 Sun Crypto Accelerator 6000 보드가 시스템에 연결되었다고 간주합니다. 또한 보드용 소프트웨어가 설치되었으며 하드웨어 키 저장소가 구성되었다고 간주합니다. 지침은 Sun Crypto Accelerator 6000 Board Product Library Documentation을 참조하십시오. 이러한 지침에는 키 저장소를 설정하는 작업도 포함됩니다.
Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.
# pfbash # ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 sca6000 sca6000 LI 2 n2cp/0 Crypto Accel Bulk 1.0 n2cp/0 Crypto Accel Bulk 1.0 3 ncp/0 Crypto Accel Asym 1.0 ncp/0 Crypto Accel Asym 1.0 4 n2rng/0 SUNW_N2_Random_Number_Ge n2rng/0 SUNW_N2_RNG 5 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
다음 옵션 중 하나를 선택합니다.
# ikev2cert gencert token=sca6000 keytype=rsa \ hash=sha256 keylen=2048 \ subject="CN=FortKnox, C=US" serial=0x6278281232 label=goldrepo Enter PIN for sca6000: See Step 3
# ikev2cert gencsr token=sca6000 -i > keytype= > hash= > keylen= > subject= > serial= > label= > outcsr= Enter PIN for sca6000 token: See Step 3
ikev2cert 명령의 인수에 대한 설명은 pktool(1) 매뉴얼 페이지를 참조하십시오.
Sun Crypto Accelerator 6000 보드가 암호가 inThe%4ov인 admin 사용자로 구성된 경우 다음을 입력합니다.
Enter PIN for sca6000 token: admin:inThe%4ov -----BEGIN X509 CERTIFICATE----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu … oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE-----
다음 옵션 중 하나를 선택합니다.
이 인증서를 전자 메일 메시지에 붙여 넣을 수 있습니다.
CA의 지침에 따라 CSR을 제출합니다. 자세한 설명은 IKE에서 공개 키 인증서 사용을 참조하십시오.
CA에서 받은 인증서를 가져오고 Step 5에서 사용자와 PIN을 지정합니다.
# ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CERT1 Enter PIN for sca6000 token: Type user:password # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CA.CERT Enter PIN for sca6000 token: Type user:password
자동 로그인을 사용하는 것이 좋습니다. 사이트 보안 정책에서 자동 로그인을 허용하지 않는 경우 in.ikev2d 데몬이 다시 시작될 때 키 저장소에 대화식으로 로그인해야 합니다.
이 등록 정보에 대한 설명은 IKEv2 서비스를 참조하십시오.
# svccfg -s ike:ikev2 editprop
임시 편집 창이 열립니다.
# setprop pkcs11_token/uri = () Original entry setprop pkcs11_token/uri = pkcs11:token=sca6000
# setprop pkcs11_token/uri = () Original entry setprop pkcs11_token/uri = admin:PIN-from-Step-3
# refresh refresh
# svccfg -s ikev2 listprop pkcs11_token pkcs11_token/pin astring username:PIN pkcs11_token/uri astring pkcs11:token=sca6000
in.ikev2d 데몬이 시작될 때마다 이 명령을 실행합니다.
# pfexec ikeadm -v2 token login sca6000 Enter PIN for sca6000 token: admin:PIN-from-Step-3 ikeadm: sca6000 operation successful
다음 단계
IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.