IKE で Sun Crypto Accelerator 4000 ボードを使用する方法

次の手順では、Sun Crypto Accelerator 4000 ボードがすでにシステムに取り付けられているものとします。さらに、ボードに必要なソフトウェアがすでにインストールされ、構成されているものとします。詳細については、『Sun Crypto Accelerator 4000 Board Installation and User's Guide』を参照してください。このマニュアルには、Sun Hardware Documentation の Web サイトの「Network and Security Products」の下からアクセスできます。

1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。

   ---

   注 –

   リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティがリモートログインセッションレベルに低下します。

   ---

2. PKCS #11 ライブラリパスを /etc/inet/ike/config ファイルに追加します。

   pkcs11_path "/opt/SUNWconn/lib/libpkcs11.so"

   パス名は 32 ビット PKCS #11 ライブラリを指していなければなりません。ライブラリが存在していれば、IKE はライブラリのルーチンを使用して、Sun Crypto Accelerator 4000 ボード上でキー生成および格納処理を行います。

3. ファイルを閉じてからリブートします。

4. リブートしたら、ライブラリがリンクされていることを確認します。PKCS #11 ライブラリがリンクされていることを確認するには、次のコマンドを実行します。

   $ ikeadm get stats … PKCS#11 library linked in from /opt/SUNWconn/lib/libpkcs11.so $

   /etc/inet/ike/config ファイルの他のパラメータとは異なり、pkcs11_path キーワードは IKE の起動時にだけ読み込まれます。ikeadm コマンドを使って新しい /etc/inet/ike/config ファイルを追加したり再読み込みしたりしても、pkcs11_path は持続します。パスが持続するのは、IKE デーモンがフェーズ 1 のデータを保持するためです。

   ---

   注 –

   Sun Crypto Accelerator 4000 ボードは、RSA で最大 2048 ビットのキーをサポートします。DSA の場合は最大 1024 ビットになります。

   ---

5. 接続されている Sun Crypto Accelerator 4000 ボードのトークン ID を検索します。

   $ ikecert tokens Available tokens with library "/opt/SUNWconn/lib/libpkcs11.so": "SUN-1000-accel " "SUN-4000-stor "

   ライブラリは 32 文字のトークン ID (キーストア名) を返します。この例では、ikecert コマンドに SUN-4000-stor トークンを指定して IKE キーを格納します。

   トークンの使用方法については、ハードウェア上で公開鍵証明書を生成、格納する方法を参照してください。

   ikecert コマンドにより、後続スペースが自動的に付加されます。