test

Guide d'administration système : services IP

Commandes et bases de données de clés publiques IKE

La commande ikecert permet de manipuler les bases de données de clés publiques du système local. Utilisez-la lorsque le fichier ike/config requiert des certificats de clés publiques. Ces bases de données étant utilisées par IKE pour authentifier la phase 1 de l'échange, elles doivent être alimentées avant l'activation du démon in.iked. Trois sous-commandes permettent de gérer chacune des trois bases de données : certlocal, certdb et certrldb.

La commande ikecert permet aussi de gérer le stockage des clés. Elles peuvent être stockées sur disque, sur une carte Sun Crypto Accelerator 6000 ou &sca 4; connectée, ou dans un fichier keystore de clés softtoken. Ce fichier est disponible lorsque le metaslot de la structure cryptographique de Solaris est utilisé pour communiquer avec le matériel. La commande ikecert utilise la bibliothèque PKCS #11 pour localiser le lieu de stockage des clés.

Pour plus d'informations, consultez la page de manuel ikecert(1M) Pour plus d'informations sur le metaslot et sur le fichier keystore de clés softtoken, reportez-vous à la page de manuel cryptoadm(1M).

Commande ikecert tokens

L'argument tokens répertorie les ID de jetons disponibles. Les ID de jetons permettent aux commandes ikecert certlocal et ikecert certdb de générer des certificats de clés publiques et des demandes de certificats. Ces certificats et demandes de certificats peuvent également être stockés par la structure cryptographique dans le fichier keystore de clés softtoken ou sur une carte Sun Crypto Accelerator 6000 ou &sca 4; connectée. La commande ikecert utilise la bibliothèque PKCS #11 pour déterminer l'emplacement de stockage des certificats.

Commande ikecert certlocal

La sous-commande certlocal gère la base de données des clés privées. Les options de cette sous-commande permettent d'ajouter, d'afficher et de supprimer des clés privées. Cette sous-commande permet également de créer un certificat autosigné ou une demande de certificat. L'option -ks crée un certificat autosigné et l'option-kc une demande de certificat. Les clés sont stockées sur le système, dans le répertoire /etc/inet/secret/ike.privatekeys, ou sur un composant matériel connecté (option -T).

Lorsque vous créez une clé privée, les options de la commande ikecert certlocal doivent avoir des entrées connexes dans le fichier ike/config. Le tableau ci-dessous détaille les correspondances entre les options ikecert et les entrées ike/config.

Tableau 24–1 Correspondances entre les options ikecert et les entrées ike/config

Option ikecert

Entréeike/config

Description 

-A nom-alternatif-sujet

cert_trust nom-alternatif-sujet

Pseudonyme identifiant le certificat de manière unique. Il peut s'agir d'une adresse IP, d'une adresse e-mail ou d'un nom de domaine. 

-D, nom-distinctif-X.509

nom-distinctif-X.509

Nom complet de l'autorité de certification, incluant le pays (C), le nom de l'organisation (ON), l'unité d'organisation (OU) et le nom commun (CN). 

-t dsa-sha1

auth_method dss_sig

Méthode d'authentification légèrement plus lente que RSA.

-t rsa-md5 et

-t rsa-sha1

auth_method rsa_sig

Méthode d'authentification légèrement plus rapide que la méthode DSA.

La clé publique RSA doit être suffisamment importante pour chiffrer la charge utile la plus lourde. Les charges les plus lourdes sont habituellement les données d'identité (par exemple, le nom distinctif X.509).

-t rsa-md5 et

-t rsa-sha1

auth_method rsa_encrypt

Le chiffrement RSA met les identités d'IKE à l'abri des écoutes électroniques, mais implique que les homologues IKE connaissent leurs clés publiques respectives. 

-T

pkcs11_path

La bibliothèque PKCS #11 prend en charge l'accélération des clés sur les cartes Sun Crypto Accelerator 1000, Sun Accelerator 6000 et Sun Crypto Accelerator 4000. La bibliothèque fournit également les jetons qui gèrent le stockage des clés sur les cartes Sun Crypto Accelerator 6000 et Sun Crypto Accelerator 4000.

Lorsque vous émettez une demande de certificat à l'aide de la commande ikecert certlocal -kc, vous envoyez la sortie de cette commande à un fournisseur de PKI ou à une AC. Si votre entreprise possède sa propre PKI, vous envoyez cette sortie à votre administrateur de PKI. Le fournisseur de PKI, l'AC ou votre administrateur de PKI crée alors les certificats. Ceux qui vous sont transmis par le fournisseur de PKI ou l'AC sont entrés dans la sous-commande certdb. La liste de révocation de certificats (LRC) que le fournisseur de PKI vous envoie est entrée dans la sous-commande certrldb.

Commande ikecert certdb

La sous-commande certdb gère la base de données des clés publiques. Les options de cette sous-commande vous permettent d'ajouter, d'afficher et de supprimer des certificats et des clés publiques. Cette sous-commande accepte l'entrée de certificats générés par la commande ikecert certlocal -ks sur un système distant. Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration du protocole IKE avec des certificats de clés publiques autosignés. Cette commande accepte également l'entrée de certificats émanant de fournisseurs PKI ou d'AC. Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration du protocole IKE avec des certificats signés par une AC.

Les certificats et les clés publiques sont stockés sur le système, dans le répertoire /etc/inet/ike/publickeys . L'option -T permet de stocker les certificats, les clés privées et les clés publiques sur les composants matériels connectés.

Commande ikecert certdb

La sous-commande certrldb gère la base de données des listes de révocation de certificats (LRC), /etc/inet/ike/crls. Cette base de données met à jour les listes de révocation des clés publiques. Les certificats qui ne sont plus valides figurent dans ces listes. Lorsqu'un fournisseur de PKI vous fait parvenir une LRC, vous pouvez l'installer dans cette base de données à l'aide de la commande ikecert certrldb. Pour plus d'informations sur cette procédure, reportez-vous à la section Traitement des listes de révocation de certificats.

Répertoire /etc/inet/ike/publickeys

Le répertoire /etc/inet/ike/publickeys contient la partie publique des biclés et leur certificat, qui sont stockés dans des fichiers ou à des emplacements. Ce répertoire est protégé en mode 0755 et peut être alimenté à l'aide de la commande ikecert certdb. L'option -T permet de stocker les clés sur une carte Sun Crypto Accelerator 6000 ou &sca 4; plutôt que dans le répertoire publickeys.

Les emplacements contiennent, sous forme chiffrée, le nom distinctif X.509 des certificats qui ont été générés sur un autre système. Si vous utilisez des certificats autosignés, vous devez indiquer le certificat que l'administrateur du système distant vous a envoyé comme entrée de commande. Si vous utilisez des certificats d'une AC, vous installez deux certificats signés d'une AC dans la base de données. Vous installez un certificat basé sur la requête de signature de certificat envoyée à l'AC. Vous installez également un certificat de l'AC.

Répertoire /etc/inet/secret/ike.privatekeys

Le répertoire /etc/inet/secret/ike.privatekeys contient des fichiers de clés privées qui font partie de biclés, c'est-à-dire les numéros de clé des SA ISAKMP. Ce répertoire est protégé en mode 0700. La commande ikecert certlocal permet d'alimenter le répertoire ike.privatekeys. Les clés privées sont effectives uniquement lors de l'installation de leur clé publique homologue, de certificats autosignés ou de certificats AC. Les clés publiques homologues sont stockées dans le répertoire /etc/inet/ike/publickey s ou sur une carte Sun Crypto Accelerator 6000 ou &sca 4;.

Répertoire /etc/inet/ike/crls

Le répertoire /etc/inet/ike/crls contient les fichiers des listes de révocation de certificats (LRC). Chaque fichier correspond à un fichier de certificat public du répertoire /etc/inet/ike/publickeys. Les fournisseurs de PKI fournissent les LRC correspondant à leurs certificats. La commande ikecert certrldb permet d'alimenter la base de données.