Mit dem Unterbefehl certlocal wird die PrivateKey-Datenbanken verwaltet. Mit den Optionen dieses Unterbefehl können Sie PrivateKeys hinzufügen, anzeigen und entfernen. Mit diesem Unterbefehl wird auch entweder ein selbst-signiertes Zertifikat oder eine Zertifikat-Anforderung erstellt. Die Option -ks erstellt ein selbst-signiertes Zertifikat. Die Option -kc erstellt eine Zertifikat-Anforderung. Die Schlüssel werden auf dem System im Verzeichnis /etc/inet/secret/ike.privatekeys oder mit der Option -T auf der angehängten Hardware gespeichert.
Wenn Sie einen PrivateKey erstellen, müssen die Optionen für den Befehl ikecert certlocal entsprechende Einträge in der Datei ike/config aufweisen. Die Entsprechungen zwischen den ikecert-Optionen und den ike/config-Einträgen sind in der folgenden Tabelle aufgeführt.
Tabelle 24–1 Entsprechungen zwischen ikecert-Optionen undike/config-Einträgen
ikecert-Option |
ike/config-Eintrag |
Beschreibung |
---|---|---|
Ein Alias, der das Zertifikat eindeutig identifiziert. Mögliche Werte sind eine IP-Adresse, eine E-Mail-Adresse oder ein Domänenname. |
||
X.509-Distinguished-Name |
Der vollständige Name der Zertifikatsautorität, der das Land (C), den Namen der Organisation (ON), die Organisationseinheit (OU) und den allgemeinen Namen (CN) enthält. |
|
Eine Authentifizierungsmethode, die etwas langsamer als RSA ist. |
||
-t rsa-md5 und -t rsa-sha1 |
auth_method rsa_sig |
Eine Authentifizierungsmethode, die etwas schneller als DSA ist. Ein RSA-PublicKey muss groß genug sein, um die größte Nutzlast zu verschlüsseln. In der Regel ist eine Identität, zum Beispiel der X.509 Distinguished Name, die größte Nutzlast. |
-t rsa-md5 und -t rsa-sha1 |
Die RSA-Verschlüsselung verbirgt Identitäten in IKE vor möglichen Mithörern, erfordert aber, dass IKE-Peers die PublicKeys des jeweils anderen Peers kennen. |
|
Die PKCS #11-Bibliothek sorgt für Schlüsselbeschleunigung auf dem Sun Crypto Accelerator 1000-, Sun Crypto Accelerator 6000- und dem Sun Crypto Accelerator 4000- Board. Die Bibliothek stellt auch die Tokens zur Verfügung, die für die Schlüsselspeicherung auf den Sun Crypto Accelerator 6000- und Sun Crypto Accelerator 4000-Boards zuständig sind. |
Wenn Sie mit dem Befehl ikecert certlocal -kc eine Zertifikat-Anforderung ausgeben, senden Sie die Ausgabe des Befehls an eine PKI-Organisation oder an eine Zertifikatsautorität (CA). Falls Ihr Unternehmen eine eigene PKI ausführt, senden Sie die Ausgabe des Befehls an Ihren PKI-Administrator. Die Zertifikate werden dann von der PKI-Organisation, der CA oder dem PKI-Administrator erstellt. Die von der PKI oder der CA zurückgegebenen Zertifikate dienen als Eingabe für den Unterbefehl certdb. Die von der PKI zurückgegebene Zertifikat-Rücknahmeliste (CRL) dient als Eingabe für den Unterbefehl certrldb.