开始之前
以下过程假定 Sun Crypto Accelerator 6000 板已连接到系统。此过程还假定已安装板的软件,而且已配置该软件。有关说明,请参见 Sun Crypto Accelerator 6000 Board Product Library Documentation(Sun Crypto Accelerator 6000 板产品库文档)。
您必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
如果执行远程管理,请参见Example 7–1 和在 Oracle Solaris 11.2 中管理安全 Shell 访问 中的如何使用安全 Shell 远程管理 ZFS,了解进行安全的远程登录的说明。
IKEv1 使用该库的例程在 Sun Crypto Accelerator 6000 板上处理密钥生成和密钥存储操作。
$ ikeadm get stats … PKCS#11 library linked in from /usr/lib/libpkcs11.so $
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
该库返回一个包含 32 个字符的令牌 ID(也称为 keystore name(密钥库名称))。在此示例中,可以将 Sun Metaslot 令牌与 ikecert 命令一起使用来存储和加速 IKEv1 密钥。
有关如何使用令牌的说明,请参见如何在硬件中为 IKEv1 生成和存储公钥证书。
结尾空格是由 ikecert 命令自动填充的。
令牌可以存储在磁盘上、连接的板上或加密框架提供的 softtoken 密钥库中。softtoken 密钥库令牌 ID 可能与以下信息类似。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
有关如何为 softtoken 密钥库创建口令短语,请参见 pktool(1) 手册页。
如下所示的命令可向 softtoken 密钥库添加证书。Sun.Metaslot.cert 是一个包含 CA 证书的文件。
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
接下来的步骤
如果建立 IPsec 策略未完成,请返回到 IPsec 过程以启用或刷新 IPsec 策略。有关保护 VPN 的 IPsec 策略的示例,请参见使用 IPsec 保护 VPN。有关 IPsec 策略的其他示例,请参见如何使用 IPsec 保护两台服务器之间的网络通信。