Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
IKE Service Management Facility
IKE PublicKey-Datenbanken und -Befehle
/etc/inet/ike/publickeys-Verzeichnis
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Mit dem Befehl ikecert können Sie die PublicKey-Datenbanken des lokalen Systems bearbeiten. Sie verwenden diesen Befehl, wenn die Datei ike/config PublicKey-Zertifikate erfordert. Da IKE diese Datenbanken zur Authentifizierung der Phase 1 Exchange benötigt, müssen sie schon gefüllt sein, bevor der in.iked-Daemon aktiviert wird. Jede der drei Datenbanken verarbeitet drei Unterbefehle: certlocal, certdb und certrldb.
Mit dem Befehl ikecert wird auch die Schlüsselspeicherung verwaltet. Schlüssel können auf einem Datenträger, auf einem angehängten Sun Crypto Accelerator 6000- oder Sun Crypto Accelerator 4000-Board oder in einem Softtoken-Schlüsselspeicher gespeichert werden. Der Softtoken-Schlüsselspeicher ist verfügbar, wenn der Metaslot im Solaris Cryptographic Framework zur Kommunikation mit dem Hardware-Gerät verwendet wird. Der Befehl ikecert verwendet die PKCS&;#11-Bibliothek zum Lokalisieren des Schlüsselspeichers.
Solaris 10 1/06: Ab diesem Release wird muss die Bibliothek nicht mehr angegeben werden. Standardmäßig befindet sich die PKCS&;#11-Bibliothek unter/usr/lib/libpkcs11.so.
Solaris 10: In diesem Release muss der PKCS&;#11 -Eintrag vorhanden sein. Andernfalls funktioniert die Option -T des Befehls ikecert nicht. Der Eintrag muss dem Folgenden ähneln:
pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"
Weitere Informationen finden Sie in der Manpage ikecert(1M) Informationen zum Metaslot und dem Softtoken-Schlüsselspeicher finden Sie in der Manpage cryptoadm(1M).
Das Argument Tokens führt die verfügbaren Token-IDs auf. Mit Token-IDs können die Befehle ikecert certlocal und ikecert certdb PublicKey-Zertifikate und Zertifikat-Anforderungen erstellen. Die Zertifikate und Zertifikat-Anforderungen werden vom Cryptographic Framework im Softtoken-Schlüsselspeicher oder auf dem angehängten Sun Crypto Accelerator 6000- oder Sun Crypto Accelerator 4000-Board gespeichert. Der Befehl ikecert verwendet die PKCS&;#11-Bibliothek zum Lokalisieren des Schlüsselspeichers.
Mit dem Unterbefehl certlocal wird die PrivateKey-Datenbanken verwaltet. Mit den Optionen dieses Unterbefehl können Sie PrivateKeys hinzufügen, anzeigen und entfernen. Mit diesem Unterbefehl wird auch entweder ein selbst-signiertes Zertifikat oder eine Zertifikat-Anforderung erstellt. Die Option -ks erstellt ein selbst-signiertes Zertifikat. Die Option -kc erstellt eine Zertifikat-Anforderung. Die Schlüssel werden auf dem System im Verzeichnis /etc/inet/secret/ike.privatekeys oder mit der Option -T auf der angehängten Hardware gespeichert.
Wenn Sie einen PrivateKey erstellen, müssen die Optionen für den Befehl ikecert certlocal entsprechende Einträge in der Datei ike/config aufweisen. Die Entsprechungen zwischen den ikecert-Optionen und den ike/config-Einträgen sind in der folgenden Tabelle aufgeführt.
Tabelle 24-1 Entsprechungen zwischen ikecert-Optionen undike/config-Einträgen
|
Wenn Sie mit dem Befehl ikecert certlocal -kc eine Zertifikat-Anforderung ausgeben, senden Sie die Ausgabe des Befehls an eine PKI-Organisation oder an eine Zertifikatsautorität (CA). Falls Ihr Unternehmen eine eigene PKI ausführt, senden Sie die Ausgabe des Befehls an Ihren PKI-Administrator. Die Zertifikate werden dann von der PKI-Organisation, der CA oder dem PKI-Administrator erstellt. Die von der PKI oder der CA zurückgegebenen Zertifikate dienen als Eingabe für den Unterbefehl certdb. Die von der PKI zurückgegebene Zertifikat-Rücknahmeliste (Certificate Revocation List, CRL) dient als Eingabe für den Unterbefehl certrldb.
Mit dem Unterbefehl certdb wird die PublicKey-Datenbank verwaltet. Mit den Optionen dieses Unterbefehl zu können Sie Zertifikate und PublicKeys hinzufügen, anzeigen oder entfernen. Der Befehl akzeptiert Zertifikate, die mit dem Befehl ikecert certlocal -ks auf einem remoten System erzeugt wurden, als Eingabe. Verfahren hierzu finden Sie unter So konfigurieren Sie IKE mit selbst-signierten PublicKey-Zertifikaten. Darüber hinaus akzeptiert dieser Befehl ein Zertifikat als Eingabe, das Sie von einer PKI oder CA empfangen haben. Informationen hierzu finden Sie unter So konfigurieren Sie IKE mit Zertifikaten, die von einer CA signiert wurden.
Die Zertifikate und PublicKeys werden im Verzeichnis /etc/inet/ike/publickeys auf dem System gespeichert. Mit der Option -T werden die Zertifikate, PublicKeys und PrivateKeys auf der angehängten Hardware gespeichert.
Mit dem Unterbefehl certrldb wird die Datenbank der Zertifikat-Rücknahmelisten, /etc/inet/ike/crls, verwaltet. In der CRL-Datenbank werden die Rücknahmelisten für PublicKeys gepflegt. Hierbei handelt es sich um nicht mehr gültige Zertifikate. Wenn PKIs Ihnen eine CRL bereitstellt, können Sie sie mit dem Befehl ikecert certrldb in der CRL-Datenbank installieren. Verfahren hierzu finden Sie unter So verarbeiten Sie eine Zertifikat-Rücknahmeliste.
Das /etc/inet/ike/publickeys-Verzeichnis enthält den öffentlichen Teil eines Paares aus Public und Private Key und dessen Zertifikat in Dateien oder Slots. Das Verzeichnis ist mit 0755 geschützt. Es wird mit dem Befehl ikecert certdb gefüllt. Mit dem Befehl -T werden die Schlüssel auf dem Sun Crypto Accelerator 6000- oder dem Sun Crypto Accelerator 4000-Board anstatt im publickeys-Verzeichnis gespeichert.
Die Slots enthalten den X.509 Distinguished Name eines von einem anderen System erzeugten Zertifikates in verschlüsselter Form. Wenn Sie selbst-signierte Zertifikate einsetzen, verwenden Sie das Zertifikat, das Sie vom Administrator des remoten Systems empfangen haben, als Eingabe für den Befehl. Wenn Sie Zertifikate von einer Zertifizierungsstelle verwenden, müssen Sie in dieser Datenbank zwei von der Zertifizierungsstelle signierte Zertifikate installieren. Sie installieren ein Zertifikat, dass auf der zur Zertifizierungsstelle gesendeten Zertifikatssignieranforderung basiert. Sie müssen auch das Zertifikat der Zertifizierungsstelle installieren.
Das Verzeichnis /etc/inet/secret/ike.privatekeys enthält die PrivateKey-Dateien (Teil des PublicKey-PrivateKey-Paares), die das Schlüsselmaterial für die ISAKMP SAs darstellen. Das Verzeichnis ist mit 0700 geschützt. Das Verzeichnis ike.privatekeys wird mit dem Befehl ikecert certlocal gefüllt. PrivateKeys werden erst dann wirksam, wenn ihre PublicKey-Pendants, selbst-signierte Zertifikate oder CAs installiert sind. Die PublicKey-Pendants sind im Verzeichnis /etc/inet/ike/publickeys oder auf einem Sun Crypto Accelerator 6000- bzw. einem &sca 4;-Board gespeichert.
Das Verzeichnis /etc/inet/ike/crls enthält Zertifikat-Rücknahmelistendateien. Jede Datei entspricht einer öffentlichen Zertifikatsdatei im Verzeichnis /etc/inet/ike/publickeys. PKI-Organisationen stellen die CRLs für ihre Zertifikate bereit. Mit dem Befehl ikecert certrldb können Sie die Datenbank füllen.