test

Solaris のシステム管理 (IP サービス)

自己署名付き公開証明書による IKE の設定方法

  1. システムコンソールからスーパーユーザーになります。

    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システム全体のセキュリティがリモートログインセッションレベルに低下します。

  2. ikecert certlocal -ks コマンドを使用して、自己署名付き証明書を ike.privatekeys データベースに追加します。たとえば、次のように指定します。


    # ikecert certlocal -ks -m 1024 -t rsa-md5 \
-D "C=US, O=ExampleCompany, OU=US-Example, CN=Example" \
-A IP=192.168.10.242
Generating, please wait...
Certificate: 
Certificate generated.
Certificate added to database.
-----BEGIN X509 CERTIFICATE-----
MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX
…
6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU
-----END X509 CERTIFICATE-----

  3. その証明書を、通信するシステムの管理者に送信します。

    その証明書は、次のようにして電子メールにカット&ペーストできます。


    To: root@us.example.com
From: root@un.example.com
Message: -----BEGIN X509 CERTIFICATE-----
MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX
…
6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU
-----END X509 CERTIFICATE-----

  4. /etc/inet/ike/config ファイルを編集して、通信するシステムからの公開鍵を認識します。 たとえば、次のように指定します。


    # Explicitly trust the following self-signed certs
# Use the Subject Alternate Name to identify the cert

cert_trust "192.168.10.242"
cert_trust "192.168.11.241"

## Parameters that may also show up in rules.

p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 5

{
 label "UN-Example to US-Example"
 local_id_type dn
 local_id "C=US, O=ExampleCompany, OU=UN-Example, CN=Example"
 remote_id_type dn
 remote_id "C=US, O=ExampleCompany, OU=US-Example, CN=Example"

 local_addr 192.168.10.242
 remote_addr 192.168.11.241

 p1_xform
  { auth_method rsa_encrypt oakley_group 2  auth_alg md5  encr_alg des }
}

  5. 次の手順を実行して、通信するシステムの公開鍵を追加します。

    1. 管理者の電子メールから公開鍵をコピーします。

    2. 次のように ikecert certdb -a コマンドと <Return> を入力します。


      # ikecert certdb -a <Return>

    3. 次のように公開鍵をペーストして <Return> と入力します。


      -----BEGIN X509 CERTIFICATE-----
MIICL…
…
KgDid/nxWPlWQU5vMAiwJXfa0sw/A12w448JVkVmEWaf
-----END X509 CERTIFICATE----- <Return>

    4. <Control-D> を入力して入力を終了します。


      <Control-D>

  6. 通信するシステムの管理者と一緒にキーが改ざんされていないことを確認します。

    たとえば、その管理者に電話で連絡して以下に示す公開鍵ハッシュの値を比較できます。


    # ikecert certdb -l
        Certificate Slot Name: 0   Type: if-modn
        Subject Name: <C=US, O=ExampleCo, OU=UN-Example, CN=Example>
        Key Size: 1024
        Public key hash: 2239A6A127F88EE0CB40F7C24A65B818
    		 

    other system # ikecert certlocal -l
Local ID Slot Name: 1   Type: if-modn
        Key Size: 1024
        Public key hash: 2239A6A127F88EE0CB40F7C24A65B818
    注 –

    上記の公開鍵ハッシュは、使用しているシステムで生成される公開鍵ハッシュとは異なります。