ハードウェア上で公開鍵証明書を生成、格納する方法

ハードウェア上で公開鍵および公開鍵証明書を生成、格納するための要件は、次のとおりです。

• ハードウェアの設定が完了していること

• /etc/inet/ike/config ファイルが、RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki) に準拠して実装されているライブラリ、すなわち PKCS #11 ライブラリを指していること

  設定手順については、IKE で Sun Crypto Accelerator 4000 ボードを使用する方法を参照してください。

ハードウェア上で公開鍵証明書を生成、格納する方法は、システム上で公開鍵証明書を生成、格納する方法とほぼ同じです。違いは次の 2 点です。

• ikecert certlocal および ikecert certdb コマンドがハードウェアを識別しなければならない。トークン ID に -T オプションを指定すると、コマンドがハードウェアを識別するようになる

• /etc/inet/ike/config ファイルが pkcs11_path キーワードでハードウェアを指していなければならない

1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。

   ---

   注 –

   リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティがリモートログインセッションレベルに低下します。

   ---

2. 自己署名付き証明書か証明書要求を生成し、トークン ID を指定します。次のオプションのどれか 1 つを選択します。

   ---

   注 –

   Sun Crypto Accelerator 4000 ボードは、RSA で最大 2048 ビットのキーをサポートします。DSA の場合は最大 1024 ビットになります。

   ---

   • 自己署名付き証明書の場合、次の構文を使用する

     # ikecert certlocal -ks -m 1024 -t rsa-md5 \ > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ > -a -T SUN-4000-stor IP=192.168.116.16 Creating hardware private keys. Enter PIN for PKCS#11 token: Type user:password -----BEGIN X509 CERTIFICATE----- MIIBwjCCASsCBD9bz5swDQYJKoZIhvcNAQEEBQAwKDELMAkGA1UEBhMCVVMxGTAX … PiktCuvURc1TXswaFyftzmLKWafUOQ== -----END X509 CERTIFICATE-----

     -T オプションの引数は、Sun Crypto Accelerator 4000 ボードのトークン ID

   • 証明書要求の場合、次の構文を使用する

     # ikecert certlocal -kc -m 1024 -t rsa-md5 \ > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ > -a -T SUN-4000-stor IP=192.168.116.16 Creating hardware private keys. Enter PIN for PKCS#11 token: Type user:password -----BEGIN X509 CERTIFICATE----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu … oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE-----

   ikecert コマンドの引数の詳細については、ikecert(1M) のマニュアルページを参照してください。

3. PIN のプロンプトに、Sun Crypto Accelerator 4000 ユーザー、コロン、ユーザーのパスワードを入力します。

   Sun Crypto Accelerator 4000 ボードのユーザー ikemgr のパスワードが rgm4tigt の場合、次のように入力します。

   Enter PIN for PKCS#11 token: ikemgr:rgm4tigt

   ---

   注 –

   PIN の応答は、ディスク上にクリアテキストとして格納されます。

   ---

4. 通信先に証明書を送信します。次のオプションのどれか 1 つを選択します。

   • リモートシステムに自己署名付き証明書を送信します。証明書は、電子メールに貼り付けることもできます。

   • PKI を処理する機関に証明書要求を送信します。証明書要求は、PKI 機関の指示に従って送信します。詳細については、CA からの署名付き証明書による IKE の設定方法の手順 3 を参照してください。

5. システム上で、/etc/inet/ike/config ファイルを編集して、証明書が認識されるようにします。次のオプションのどれか 1 つを選択します。

   • 自己署名付き証明書の場合は、リモートシステムの管理者がパラメータ cert_trust、remote_id、および remote_addr 用に提供する値を使用します。

     たとえば、enigma システムの ike/config ファイルは次のようになります。

     # Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert cert_trust "192.168.116.16" ローカルシステムの証明書 cert_trust "192.168.13.213" リモートシステムの証明書 pkcs11_path "/opt/SUNWconn/lib/libpkcs11.so" ハードウェア接続 … { label "JA-enigmax to US-partym" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_encrypt oakley_group 2 auth_alg md5 encr_alg 3des} }

   • 証明書要求の場合は、PKI 機関が cert_root キーワードの値として提供する名前を入力します。

     たとえば、enigma システムの ike/config ファイルは次のようになります。

     # Trusted root cert # This certificate is from Example PKI # This is the X.509 distinguished name for the CA that it issues. cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI" pkcs11_path "/opt/SUNWconn/lib/libpkcs11.so" ハードウェア接続 … { label "JA-enigmax to US-partym - Example PKI" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform {auth_method rsa_encrypt oakley_group 2 auth_alg md5 encr_alg 3des} }

6. 通信先から受け取った証明書をハードウェアに格納します。

   手順 3 の場合と同様に、PIN 要求に応答します。

   ---

   注 –

   公開鍵証明書は、公開鍵を生成したハードウェアに追加する必要があります。

   ---

   • 自己署名付き証明書の場合、リモートシステムの自己署名付き証明書を追加します。

     # ikecert certdb -a -T SUN-4000-stor Return キーを押す 自己署名付き証明書を貼り付ける <Control>-D Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する

     自己署名付き証明書の auth_method パラメータの値として rsa_encrypt を使用した場合、ハードウェアストアにピアの証明書を追加します。

     # ikecert certdb -a -T SUN-4000-stor Return キーを押す ピアの証明書を貼り付ける <Control>-D Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する

   • PKI 機関の証明書の場合、その機関が証明書要求に応じて発行した証明書と、認証局 (CA) を追加します。

     # ikecert certdb -a -T SUN-4000-stor Return キーを押す PKI が発行した証明書を貼り付ける <Control>-D Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する

     # ikecert certdb -a -T SUN-4000-stor Return キーを押す CA 証明書を貼り付ける <Control>-D Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する

     PKI 機関から取得した証明書無効リスト (CRL) を追加する方法については、証明書無効リストを処理する方法を参照してください。