test

Systemverwaltungshandbuch: IP Services

IKE PublicKey-Datenbanken und -Befehle

Mit dem Befehl ikecert können Sie die PublicKey-Datenbanken des lokalen Systems bearbeiten. Sie verwenden diesen Befehl, wenn die Datei ike/config PublicKey-Zertifikate erfordert. Da IKE diese Datenbanken zur Authentifizierung der Phase 1 Exchange benötigt, müssen sie schon gefüllt sein, bevor der in.iked-Daemon aktiviert wird. Jede der drei Datenbanken verarbeitet drei Unterbefehle: certlocal, certdb und certrldb.

Mit dem Befehl ikecert wird auch die Schlüsselspeicherung verwaltet. Schlüssel können auf einem Datenträger, auf einem angehängten Sun Crypto Accelerator 6000- oder Sun Crypto Accelerator 4000-Board oder in einem Softtoken-Schlüsselspeicher gespeichert werden. Der Softtoken-Schlüsselspeicher ist verfügbar, wenn der Metaslot im Solaris Cryptographic Framework zur Kommunikation mit dem Hardware-Gerät verwendet wird. Der Befehl ikecert verwendet die PKCS&;#11-Bibliothek zum Lokalisieren des Schlüsselspeichers.

Weitere Informationen finden Sie in der Manpage ikecert(1M) Informationen zum Metaslot und dem Softtoken-Schlüsselspeicher finden Sie in der Manpage cryptoadm(1M).

ikecert tokens-Befehl

Das Argument Tokens führt die verfügbaren Token-IDs auf. Mit Token-IDs können die Befehle ikecert certlocal und ikecert certdb PublicKey-Zertifikate und Zertifikat-Anforderungen erstellen. Die Zertifikate und Zertifikat-Anforderungen werden vom Cryptographic Framework im Softtoken-Schlüsselspeicher oder auf dem angehängten Sun Crypto Accelerator 6000- oder Sun Crypto Accelerator 4000-Board gespeichert. Der Befehl ikecert verwendet die PKCS&;#11-Bibliothek zum Lokalisieren des Schlüsselspeichers.

ikecert certlocal-Befehl

Mit dem Unterbefehl certlocal wird die PrivateKey-Datenbanken verwaltet. Mit den Optionen dieses Unterbefehl können Sie PrivateKeys hinzufügen, anzeigen und entfernen. Mit diesem Unterbefehl wird auch entweder ein selbst-signiertes Zertifikat oder eine Zertifikat-Anforderung erstellt. Die Option -ks erstellt ein selbst-signiertes Zertifikat. Die Option -kc erstellt eine Zertifikat-Anforderung. Die Schlüssel werden auf dem System im Verzeichnis /etc/inet/secret/ike.privatekeys oder mit der Option -T auf der angehängten Hardware gespeichert.

Wenn Sie einen PrivateKey erstellen, müssen die Optionen für den Befehl ikecert certlocal entsprechende Einträge in der Datei ike/config aufweisen. Die Entsprechungen zwischen den ikecert-Optionen und den ike/config-Einträgen sind in der folgenden Tabelle aufgeführt.

Tabelle 24–1 Entsprechungen zwischen ikecert-Optionen undike/config-Einträgen

ikecert-Option

ike/config-Eintrag

Beschreibung 

-A Subjekt-Alternativname

cert_trust Subjekt-Alternativname

Ein Alias, der das Zertifikat eindeutig identifiziert. Mögliche Werte sind eine IP-Adresse, eine E-Mail-Adresse oder ein Domänenname. 

-D X.509-Distinguished-Name

X.509-Distinguished-Name

Der vollständige Name der Zertifikatsautorität, der das Land (C), den Namen der Organisation (ON), die Organisationseinheit (OU) und den allgemeinen Namen (CN) enthält. 

-t dsa-sha1

auth_method dss_sig

Eine Authentifizierungsmethode, die etwas langsamer als RSA ist.

-t rsa-md5 und

-t rsa-sha1

auth_method rsa_sig

Eine Authentifizierungsmethode, die etwas schneller als DSA ist.

Ein RSA-PublicKey muss groß genug sein, um die größte Nutzlast zu verschlüsseln. In der Regel ist eine Identität, zum Beispiel der X.509 Distinguished Name, die größte Nutzlast.

-t rsa-md5 und

-t rsa-sha1

auth_method rsa_encrypt

Die RSA-Verschlüsselung verbirgt Identitäten in IKE vor möglichen Mithörern, erfordert aber, dass IKE-Peers die PublicKeys des jeweils anderen Peers kennen. 

-T

pkcs11_path

Die PKCS #11-Bibliothek sorgt für Schlüsselbeschleunigung auf dem Sun Crypto Accelerator 1000-, Sun Crypto Accelerator 6000- und dem Sun Crypto Accelerator 4000- Board. Die Bibliothek stellt auch die Tokens zur Verfügung, die für die Schlüsselspeicherung auf den Sun Crypto Accelerator 6000- und Sun Crypto Accelerator 4000-Boards zuständig sind.

Wenn Sie mit dem Befehl ikecert certlocal -kc eine Zertifikat-Anforderung ausgeben, senden Sie die Ausgabe des Befehls an eine PKI-Organisation oder an eine Zertifikatsautorität (CA). Falls Ihr Unternehmen eine eigene PKI ausführt, senden Sie die Ausgabe des Befehls an Ihren PKI-Administrator. Die Zertifikate werden dann von der PKI-Organisation, der CA oder dem PKI-Administrator erstellt. Die von der PKI oder der CA zurückgegebenen Zertifikate dienen als Eingabe für den Unterbefehl certdb. Die von der PKI zurückgegebene Zertifikat-Rücknahmeliste (CRL) dient als Eingabe für den Unterbefehl certrldb.

ikecert certdb-Befehl

Mit dem Unterbefehl certdb wird die PublicKey-Datenbank verwaltet. Mit den Optionen dieses Unterbefehl zu können Sie Zertifikate und PublicKeys hinzufügen, anzeigen oder entfernen. Der Befehl akzeptiert Zertifikate, die mit dem Befehl ikecert certlocal -ks auf einem remoten System erzeugt wurden, als Eingabe. Verfahren hierzu finden Sie unter So konfigurieren Sie IKE mit selbst-signierten PublicKey-Zertifikaten. Darüber hinaus akzeptiert dieser Befehl ein Zertifikat als Eingabe, das Sie von einer PKI oder CA empfangen haben. Informationen hierzu finden Sie unter So konfigurieren Sie IKE mit Zertifikaten, die von einer CA signiert wurden.

Die Zertifikate und PublicKeys werden im Verzeichnis /etc/inet/ike/publickeys auf dem System gespeichert. Mit der Option -T werden die Zertifikate, PublicKeys und PrivateKeys auf der angehängten Hardware gespeichert.

ikecert certrldb-Befehl

Mit dem Unterbefehl certrldb wird die Datenbank der Zertifikat-Rücknahmeliste (CRL), /etc/inet/ike/crls, verwaltet. In der CRL-Datenbank werden die Rücknahmelisten für PublicKeys gepflegt. Hierbei handelt es sich um nicht mehr gültige Zertifikate. Wenn PKIs Ihnen eine CRL bereitstellt, können Sie sie mit dem Befehl ikecert certrldb in der CRL-Datenbank installieren. Verfahren hierzu finden Sie unter So verarbeiten Sie eine Zertifikat-Rücknahmeliste.

/etc/inet/ike/publickeys-Verzeichnis

Das /etc/inet/ike/publickeys-Verzeichnis enthält den öffentlichen Teil eines Paares aus Public und Private Key und dessen Zertifikat in Dateien oder Slots. Das Verzeichnis ist mit 0755 geschützt. Es wird mit dem Befehl ikecert certdb gefüllt. Mit dem Befehl -T werden die Schlüssel auf dem Sun Crypto Accelerator 6000- oder dem Sun Crypto Accelerator 4000-Board anstatt im publickeys-Verzeichnis gespeichert.

Die Slots enthalten den X.509 Distinguished Name eines von einem anderen System erzeugten Zertifikates in verschlüsselter Form. Wenn Sie selbst-signierte Zertifikate einsetzen, verwenden Sie das Zertifikat, das Sie vom Administrator des remoten Systems empfangen haben, als Eingabe für den Befehl. Wenn Sie Zertifikate von einer Zertifizierungsstelle verwenden, müssen Sie in dieser Datenbank zwei von der Zertifizierungsstelle signierte Zertifikate installieren. Sie installieren ein Zertifikat, dass auf der zur Zertifizierungsstelle gesendeten Zertifikatssignieranforderung basiert. Sie müssen auch das Zertifikat der Zertifizierungsstelle installieren.

/etc/inet/secret/ike.privatekeys-Verzeichnis

Das Verzeichnis /etc/inet/secret/ike.privatekeys enthält die PrivateKey-Dateien (Teil des PublicKey-PrivateKey-Paares), die das Schlüsselmaterial für die ISAKMP SAs darstellen. Das Verzeichnis ist mit 0700 geschützt. Das Verzeichnis ike.privatekeys wird mit dem Befehl ikecert certlocal gefüllt. PrivateKeys werden erst dann wirksam, wenn ihre PublicKey-Pendants, selbst-signierte Zertifikate oder CAs installiert sind. Die PublicKey-Pendants sind im Verzeichnis /etc/inet/ike/publickeys oder auf einem Sun Crypto Accelerator 6000- bzw. einem &sca 4;-Board gespeichert.

/etc/inet/ike/crls-Verzeichnis

Das Verzeichnis /etc/inet/ike/crls enthält die Dateien der Zertifikat-Rücknahmeliste (CRL). Jede Datei entspricht einer öffentlichen Zertifikatsdatei im Verzeichnis /etc/inet/ike/publickeys. PKI-Organisationen stellen die CRLs für ihre Zertifikate bereit. Mit dem Befehl ikecert certrldb können Sie die Datenbank füllen.