test

Solaris のシステム管理 (IP サービス)

認証局による署名付き公開鍵による IKE の設定方法

  1. システムコンソールからスーパーユーザーになります。

    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システム全体のセキュリティがリモートログインセッションレベルに低下します。

  2. ikecert certlocal -kc コマンドを使用して、信頼されたルート証明書を ike.privatekeys データベースに追加します。

    たとえば、次のように指定します。


    # ikecert certlocal -kc -m 1024 -t rsa-md5 \
-D "C=US, O=ExampleCompany\, Inc., OU=US-Example, CN=Example" \
-A "DN=C=US, O=ExampleCompany\, Inc., OU=US-Example"
Generating, please wait...
Certificate request generated.
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwUzELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFEV4YW1wbGVDb21w
…
lcM+tw0ThRrfuJX9t/Qa1R/KxRlMA3zckO80mO9X
-----END CERTIFICATE REQUEST-----

  3. その要求を外部の認証局または PKI に依頼します。

    ベンダーは、各データベースに入力される 2 つの証明書と CRL を発行します。

    • 公開鍵証明書 – この証明書はベンダーに依頼した要求に基づいて作成されます。この証明書によって一意に識別されます。

    • 認証局 – ベンダーの署名です。CA によって公開鍵証明書が正規のものであることが確認されます。

    • 証明書無効リスト – ベンダーが無効にした証明書の最新リストです。

  4. ikecert コマンドで 3 つの証明書を引数として入力します。

    1. システムコンソールからスーパーユーザーになります。

    2. 次のように ikecert certdb -a コマンドと <Return> を入力します。


      # ikecert certdb -a <Return>

    3. 次のようにベンダーから受信した証明書をペーストして、 <Return> と入力します。 


      -----BEGIN X509 CERTIFICATE-----
…
-----END X509 CERTIFICATE-----<Return>

    4. <Control-D> を入力して入力を終了します。


      <Control-D>

    5. 次のように ikecert certdb -a コマンドと <Return> を入力します。


      # ikecert certdb -a <Return>

    6. 次のようにベンダーの CA をペーストして <Return> と入力してから、<Control-D> と入力して入力を終了します。


      -----BEGIN X509 CERTIFICATE-----
…
-----END X509 CERTIFICATE-----<Return>
<Control-D>

    7. 次のように ikecert certrldb -a コマンドと <Return> を入力します。


      # ikecert certrldb -a <Return>

    8. 次のようにベンダーの CRL をペーストして <Return> と入力してから、<Control-D> と入力して入力を終了します。

  5. /etc/inet/ike/config ファイルを編集して、ベンダーを認識します。

    ベンダーから利用するように通知された名前を使用します。たとえば、次のように指定します。


    # Trusted root cert
# This certificate is from Example PKI
# This is the X.509 distinguished name for the CA that it issues.

cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI"

## Parameters that may also show up in rules.

p1_xform { auth_method rsa_sig oakley_group 1 auth_alg sha1 encr_alg 3des }
p2_pfs 2

{
 label "UN-Example to US-Example - Example PKI"
 local_id_type dn
 local_id "C=US, O=ExampleCompany, OU=UN-Example, CN=Example"
 remote_id_type dn
 remote_id "C=US, O=ExampleCompany, OU=US-Example, CN=Example"

 local_addr 192.168.10.242
 remote_addr 192.168.11.241

 p1_xform
  { auth_method rsa_encrypt oakley_group 2  auth_alg md5  encr_alg des }
}

  6. 今までと同じ操作を、通信するシステムでも実行します。

    上記の例に従って "C=US, O=ExampleCompany, OU=US-Example, CN=Example" システムで ikecert コマンドを実行します。その ike.config ファイルでは、ローカルパラメータにはローカル情報、リモートパラメータには使用しているシステムの情報を使用します。

    たとえば、次のように指定します。


    # Trusted root cert
# This certificate is from Example PKI

cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI"

## Parameters that may also show up in rules.

p1_xform { auth_method rsa_sig oakley_group 1 auth_alg sha1 encr_alg 3des }
p2_pfs 2

{
 label "US-Example to UN-Example - Example PKI"
 local_id_type dn
 local_id "C=US, O=ExampleCompany, OU=US-Example, CN=Example"
 remote_id_type dn
 remote_id "C=US, O=ExampleCompany, OU=UN-Example, CN=Example"

 local_addr 192.168.11.241
 remote_addr 192.168.10.242

 p1_xform
  { auth_method rsa_sig oakley_group 2  auth_alg md5  encr_alg des }
}

    /etc/hosts ファイルと /etc/inet/ipsecinit.conf ファイルを変更して、保護されたインタフェースを組み込み、システムをリブートすると、IKE デーモンを実行して公開鍵と CA による IKE 自体の認証を行います。

    注 –

    RSA 暗号化認証方式により、IKE の ID が不正侵入者から保護されるため、IKE ではピアの証明書を検出しません。したがって、その方式では、IKE ピアが互いの公開鍵を認識することが必要になります。よって、ike.config ファイルの auth_method rsa_encrypt を使用する場合には、ピアの証明書を公開鍵データベースに追加する必要があります。