certlocal サブコマンドを実行して、/etc/inet/secret/ike.privatekeys ディレクトリにある非公開鍵データベースを管理します。このサブコマンドを選択すると、非公開鍵の追加、表示、および削除を行うことができます。また、自己署名付き証明書または証明書要求のいずれかを作成できます。-ks オプションを選択すると、自己署名付き証明書が作成され、-kc オプションを選択すると、証明書要求が作成されます。
非公開鍵を作成する場合、certlocal サブコマンドには、ike/config ファイルの情報が必要です。certlocal オプションと ike/config エントリの対応を次の表に示します。
表 3–2 ike certlocal の値と ike/config の値の対応表
certlocal オプション |
ike/config エントリ |
注 |
---|---|---|
-A 対象の代替名 |
cert_trust 対象代替名 |
証明書を一意に識別するニックネーム。指定可能な値は、IP アドレス、電子メールアドレス、およびドメイン名 |
-D X.509 識別名 |
X.509 識別名 |
国、組織名、組織単位、共通名を含む認証局のフルネーム |
-t dsa-sha1 |
RSA よりもわずかに遅くなる。特許は登録されていない |
|
-t rsa-md5 -t rsa-sha1 |
auth_method rsa_sig |
DSA よりもわずかに速くなる。特許の期限切れは 2000 年 9 月 RSA 公開鍵は、最大ペイロードを暗号化するのに十分な長さが必要。一般的に識別名などの ID ペイロードが最大 |
-t rsa-md5 -t rsa-sha1 |
RSA 暗号化により、IKE にある ID が不正侵入者から保護されますが、IKE ピアには互いの公開鍵の認識が要求されます。 |
ikecert certlocal -kc コマンドを指定して証明書要求を実行する場合、そのコマンドの出力を PKI 機関に送信します。会社が独自の PKI を運営している場合は、出力を PKI 管理者に送信します。機関または PKI 管理者はこれに基づいてキー情報を作成します。ユーザーは、返されたキー情報を certdb と certrldb サブコマンドへの入力として使用します。