IKE 公開鍵のデータベースおよびコマンド (Solaris のシステム管理 (IP サービス))

Solaris のシステム管理 (IP サービス)

IKE 公開鍵のデータベースおよびコマンド

ikecert(1M) コマンドを実行して、ローカルホストの公開鍵データベースを操作します。IKE では、ike.config ファイルが公開鍵証明書を要求するときに、それらのデータベースを使用してフェーズ 1 交換を認証するため、in.iked デーモンを起動する前にそれらのデータベースを格納したディレクトリを生成する必要があります。 3 つのサブコマンド certlocal、certdb、certrldb をそれぞれ実行して、3 つのデータベースを処理します。

`ikecert certlocal` コマンド

certlocal サブコマンドを実行して、/etc/inet/secret/ike.privatekeys ディレクトリにある非公開鍵データベースを管理します。このサブコマンドを選択すると、非公開鍵の追加、表示、および削除を行うことができます。また、自己署名付き証明書または証明書要求のいずれかを作成できます。-ks オプションを選択すると、自己署名付き証明書が作成され、-kc オプションを選択すると、証明書要求が作成されます。

非公開鍵を作成する場合、certlocal サブコマンドに渡すパラメータは、次の表に示すように、ike.config ファイルに反映する必要があります。

表 21–2 ike certlocal の値と ike.config の値の対応表


`certlocal` オプション	`ike.config` エントリ	注
`-A` `対象の代替名`	`cert_trust` `対象代替名`	証明書を一意に識別するニックネーム。指定可能な値は IP アドレス、電子メールアドレス、およびドメイン名です。
`-D` `X.509 識別名`	`cert_root` `X.509 識別名`	国、組織名、組織単位、共通名を含む認証局のフルネーム。
`-t dsa-sha1`	`auth_method dss_sig`	RSA よりもわずかに遅くなります。特許は登録されていません。
`-t rsa-md5` `-t rsa-sha1`	`auth_method rsa_sig`	DSA よりもわずかに速くなります。特許の期限切れは 2000 年 9 月です。 RSA 公開鍵は、最大ペイロードを暗号化できるようにその長さを十分長くする必要があります。一般的に識別名などの ID ペイロードが最大になります。
`-t rsa-md5` `-t rsa-sha1`	`auth_method rsa_encrypt`	RSA 暗号化により、IKE にある ID が不正侵入者から保護されますが、IKE ピアには互いの公開鍵の認識が要求されます。

ikecert certlocal -kc コマンドを指定して証明書要求を実行する場合、そのコマンドの出力をベンダーに送信します。その後、ベンダーがキー情報を作成します。certdb と certrldb のサブコマンドへの入力としてベンダーのキー情報を使用します。

`ikecert certdb` コマンド

certdb サブコマンドを実行して、公開鍵データベース /etc/inet/ike/publickeys を管理します。そのサブコマンドを選択すると、公開鍵と証明書を追加、表示、および削除できます。また、通信するシステムで ikecert certlocal -ks コマンドを実行して作成された証明書を入力として受け入れます。手順については、自己署名付き公開証明書による IKE の設定方法を参照してください。さらに、PKI または CA から受信する証明書も入力として受け入れます。手順については、認証局による署名付き公開鍵による IKE の設定方法を参照してください。

`ikecert certrldb` コマンド

certrldb サブコマンドを実行して、証明書無効リスト (CRL; Certificate Revocation List) データベース /etc/inet/ike/crls を管理します。crls データベースには、公開鍵の無効リストが保存されています。よって、このリストには、すでに有効でない証明書が明記されます。PKI によって CRL が提供されるときに、ikecert certrldb コマンドを指定して CRL データベースにそれらの CRL を格納します。手順については、証明書無効リストを更新する方法を参照してください。

`/etc/inet/ike/publickeys` ディレクトリ

/etc/inet/ike/publickeys ディレクトリには、公開鍵と非公開鍵のペアの公開部分とファイルにあるその証明書、つまり「スロット」が格納されています。 /etc/inet/ike ディレクトリは 0755 で保護されます。そのディレクトリに格納される公開鍵データベースは、各国で読み取り可能です (0644)。 ikecert certdb コマンドを使用して、そのディレクトリを読み込みます。

そのファイルには、別のシステムで生成された証明書の X.509 識別名がコード化形式で含まれています。自己署名付き証明書を使用する場合、そのコマンドへの入力として、通信するシステムの管理者から受信する証明書を使用します。PKI からの証明書を使用する場合、ベンダーからこのデータベースに 2 つのキー情報 (ベンダーに送信した情報に基づいた証明書、およびベンダーからの CA) を格納します。

iPlanet CMS の評価コピー PKI は、インストールパッケージの Media Kit で使用できます。

`/etc/inet/secret/ike.privatekeys` ディレクトリ

ike.privatekeys ディレクトリには、公開鍵と非公開鍵のペアの一部である非公開鍵ファイル、ISAKMP SA のキー情報が格納されています。このディレクトリは 0700 で保護されています。このデータベースにある非公開鍵は、publickeys データベースの公開鍵とペアにする必要があります。ikecert certlocal コマンドを実行して、コマンドのディレクトリを読み込みます。非公開鍵は、ペアとなる公開鍵、自己署名付き証明書や CA が /etc/inet/ike/publickeys ディレクトリに格納されてから有効になります。

`/etc/inet/ike/crls` ディレクトリ

/etc/inet/ike/crls ディレクトリには、証明書無効リスト (CRL) ファイルが含まれています。各ファイルは、/etc/inet/ike/publickeys/ ディレクトリにある公開鍵証明書ファイルに対応しています。PKI ベンダーにより、それらの証明書の CRL が提供されます。ikecert certrldb コマンドを使用して、そのデータベースを読み込みます。