Commande ikecert certlocal (Guide d'administration système : services IP)

Guide d'administration système : services IP

Commande `ikecert certlocal`

La sous-commande certlocal gère la base de données des clés privées. Les options de cette sous-commande permettent d'ajouter, d'afficher et de supprimer des clés privées. Cette sous-commande permet également de créer un certificat autosigné ou une demande de certificat. L'option -ks crée un certificat autosigné et l'option-kc une demande de certificat. Les clés sont stockées sur le système, dans le répertoire /etc/inet/secret/ike.privatekeys, ou sur un composant matériel connecté (option -T).

Lorsque vous créez une clé privée, les options de la commande ikecert certlocal doivent avoir des entrées connexes dans le fichier ike/config. Le tableau ci-dessous détaille les correspondances entre les options ikecert et les entrées ike/config.

Tableau 24–1 Correspondances entre les options ikecert et les entrées ike/config


Option `ikecert`	Entrée`ike/config`	Description
`-A` `nom-alternatif-sujet`	`cert_trust` `nom-alternatif-sujet`	Pseudonyme identifiant le certificat de manière unique. Il peut s'agir d'une adresse IP, d'une adresse e-mail ou d'un nom de domaine.
`-D`, `nom-distinctif-X.509`	`nom-distinctif-X.509`	Nom complet de l'autorité de certification, incluant le pays (C), le nom de l'organisation (ON), l'unité d'organisation (OU) et le nom commun (CN).
`-t dsa-sha1`	`auth_method dss_sig`	Méthode d'authentification légèrement plus lente que RSA.
`-t rsa-md5` et `-t rsa-sha1`	`auth_method rsa_sig`	Méthode d'authentification légèrement plus rapide que la méthode DSA. La clé publique RSA doit être suffisamment importante pour chiffrer la charge utile la plus lourde. Les charges les plus lourdes sont habituellement les données d'identité (par exemple, le nom distinctif X.509).
`-t rsa-md5` et `-t rsa-sha1`	`auth_method rsa_encrypt`	Le chiffrement RSA met les identités d'IKE à l'abri des écoutes électroniques, mais implique que les homologues IKE connaissent leurs clés publiques respectives.
`-T`	`pkcs11_path`	La bibliothèque PKCS #11 prend en charge l'accélération des clés sur les cartes Sun Crypto Accelerator 1000, Sun Accelerator 6000 et Sun Crypto Accelerator 4000. La bibliothèque fournit également les jetons qui gèrent le stockage des clés sur les cartes Sun Crypto Accelerator 6000 et Sun Crypto Accelerator 4000.

Lorsque vous émettez une demande de certificat à l'aide de la commande ikecert certlocal -kc, vous envoyez la sortie de cette commande à un fournisseur de PKI ou à une AC. Si votre entreprise possède sa propre PKI, vous envoyez cette sortie à votre administrateur de PKI. Le fournisseur de PKI, l'AC ou votre administrateur de PKI crée alors les certificats. Ceux qui vous sont transmis par le fournisseur de PKI ou l'AC sont entrés dans la sous-commande certdb. La liste de révocation de certificats (LRC) que le fournisseur de PKI vous envoie est entrée dans la sous-commande certrldb.