ikecert certlocal コマンド
certlocal サブコマンドを実行して、/etc/inet/secret/ike.privatekeys ディレクトリにある非公開鍵データベースを管理します。このサブコマンドを選択すると、非公開鍵の追加、表示、および削除を行うことができます。また、自己署名付き証明書または証明書要求のいずれかを作成できます。-ks オプションを選択すると、自己署名付き証明書が作成され、-kc オプションを選択すると、証明書要求が作成されます。
非公開鍵を作成する場合、certlocal サブコマンドに渡すパラメータは、次の表に示すように、ike.config ファイルに反映する必要があります。
表 21–2 ike certlocal の値と ike.config の値の対応表|
certlocal オプション |
ike.config エントリ |
注 |
|---|---|---|
|
-A 対象の代替名 |
cert_trust 対象代替名 |
証明書を一意に識別するニックネーム。指定可能な値は IP アドレス、電子メールアドレス、およびドメイン名です。 |
|
-D X.509 識別名 |
cert_root X.509 識別名 |
国、組織名、組織単位、共通名を含む認証局のフルネーム。 |
|
-t dsa-sha1 |
RSA よりもわずかに遅くなります。 特許は登録されていません。 |
|
|
-t rsa-md5 -t rsa-sha1 |
auth_method rsa_sig |
DSA よりもわずかに速くなります。 特許の期限切れは 2000 年 9 月です。 RSA 公開鍵は、最大ペイロードを暗号化できるようにその長さを十分長くする必要があります。一般的に識別名などの ID ペイロードが最大になります。 |
|
-t rsa-md5 -t rsa-sha1 |
RSA 暗号化により、IKE にある ID が不正侵入者から保護されますが、IKE ピアには互いの公開鍵の認識が要求されます。 |
ikecert certlocal -kc コマンドを指定して証明書要求を実行する場合、そのコマンドの出力をベンダーに送信します。その後、ベンダーがキー情報を作成します。certdb と certrldb のサブコマンドへの入力としてベンダーのキー情報を使用します。
- © 2010, Oracle Corporation and/or its affiliates