| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Verwalten von Public-Key-Technologien
Dienstprogramme von Key Management Framework
KMF-Schlüsselspeicherverwaltung
Verwenden von Key Management Framework (Übersicht der Schritte)
Verwenden von Key Management Framework (Aufgaben)
So erstellen Sie ein Zertifikat mit dem Befehl pktool gencert
So importieren Sie ein Zertifikat in den Schlüsselspeicher
So exportieren Sie ein Zertifikat und einen privaten Schlüssel im PKCS #12-Format
So generieren Sie einen Passwortsatz mit dem Befehl pktool setpin
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
In diesem Abschnitt wird beschrieben, wie Sie mithilfe des Befehls pktool Ihre Public-Key-Objekte wie z. B. Passwörter, Passwortsätze, Dateien, Schlüsselspeicher, Zertifikate und CRLs verwalten.
Mit diesem Verfahren wird ein selbstsigniertes Zertifikat erstellt und im PKCS #11-Schlüsselspeicher gespeichert. Als Teil dieses Vorgangs wird ebenfalls ein Paar aus öffentlichem und privatem RSA-Schlüssel erstellt. Der private Schlüssel wird in dem Schlüsselspeicher mit dem Zertifikat gespeichert.
% pktool gencert [keystore=keystore] label=label-name \ subject=subject-DN serial=hex-serial-number
Gibt den Schlüsselspeicher nach Typ des Public-Key-Objekts an. Der Wert kann nss, pkcs11 oder ssl sein. Dieses Schlüsselwort ist optional.
Gibt einen eindeutigen Namen an, den der Aussteller an das Zertifikat weitergibt
Gibt den Distinguished Name für das Zertifikat an
Gibt die Seriennummer im hexadezimalen Format an. Der Aussteller des Zertifikats wählt die Nummer aus, z. B. 0x0102030405.
% pktool list
Found number certificates.
1. (X.509 certificate)
Label: label-name
ID: Fingerprint that binds certificate to private key
Subject: subject-DN
Issuer: distinguished-name
Serial: hex-serial-number
n. ...Dieser Befehl listet alle Zertifikate im Schlüsselspeicher auf. Im folgenden Beispiel enthält der Schlüsselspeicher nur ein Zertifikat.
Beispiel 15-1 Erstellen eines selbstsignierten Zertifikats mit pktool
Im folgenden Beispiel erstellt ein Benutzer bei My Company ein selbstsigniertes Zertifikat und speichert dieses in einem Schlüsselspeicher für PKCS #11-Objekte. Zu Beginn ist der Schlüsselspeicher leer. Wenn der Schlüsselspeicher nicht initialisiert wurde, lautet die PIN für das Softtoken changeme.
% pktool gencert keystore=pkcs11 label="My Cert" \ subject="C=US, O=My Company, OU=Security Engineering Group, CN=MyCA" \ serial=0x000000001 Enter pin for Sun Software PKCS#11 softtoken:Type PIN for token
% pktool list
Found 1 certificates.
1. (X.509 certificate)
Label: My Cert
ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb
Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA
Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA
Serial: 0x01
In diesem Verfahren wird beschrieben, wie eine Datei mit PKI-Informationen, die mit PEM oder Raw-DER verschlüsselt wurde, in Ihren Schlüsselspeicher importiert wird. In Beispiel 15-4 wird ein Exportverfahren dargestellt.
% pktool import keystore=keystore infile=infile-name label=label-name
Wenn Sie private PKI-Informationen importieren, wie z. B. eine Exportdatei im PKCS #12-Format, ist für die entsprechende Datei ein Passwort erforderlich. Der Ersteller der importierten Datei stellt Ihnen das PKCS #12-Passwort zur Verfügung.
Enter password to use for accessing the PKCS12 file:Type PKCS #12 password
Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token
% pktool list
Found number certificates.
1. (X.509 certificate)
Label: label-name
ID: Fingerprint that binds certificate to private key
Subject: subject-DN
Issuer: distinguished-name
Serial: hex-serial-number
2. ...Beispiel 15-2 Importieren einer PKCS #12-Datei in den Schlüsselspeicher
Im folgenden Beispiel importiert der Benutzer eine PKCS #12-Datei eines anderen Erstellers. Der Befehl pktool import extrahiert den privaten Schlüssel und das Zertifikat aus der Datei gracedata.p12 und speichert beides in dem bevorzugten Schlüsselspeicher des Benutzers.
% pktool import keystore=pkcs11 infile=gracedata.p12 label=GraceCert
Enter password to use for accessing the PKCS12 file:Type PKCS #12 password
Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token
Found 1 certificate(s) and 1 key(s) in gracedata.p12
% pktool list
Found 1 certificates.
1. (X.509 certificate)
Label: GraceCert
ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb
Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA
Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA
Serial: 0x01Beispiel 15-3 Importieren eines X.509-Zertifikats in den Schlüsselspeicher
Im folgenden Beispiel importiert der Benutzer ein X.509-Zertifikat im PEM-Format in den bevorzugten Schlüsselspeicher des Benutzers. Dieses öffentliche Zertifikat wird nicht mit einem Passwort geschützt. Der öffentliche Schlüsselspeicher des Benutzers ist ebenfalls nicht passwortgeschützt.
% pktool import keystore=pkcs11 infile=somecert.pem label="TheirCompany Root Cert"
% pktool list
Found 1 certificates.
1. (X.509 certificate)
Label: TheirCompany Root Cert
ID: 21:ae:83:98:24:d1:1f:cb:65:5b:48:75:7d:02:47:cf:98:1f:ec:a0
Subject: C=US, O=TheirCompany, OU=Security, CN=TheirCompany Root CA
Issuer: C=US, O=TheirCompany, OU=Security, CN=TheirCompany Root CA
Serial: 0x01
Sie können eine Datei im PKCS #12-Format erstellen, um private Schlüssel und das dazugehörige X.509-Zertifikat auf andere Systeme zu exportieren. Der Zugriff auf die Datei wird durch ein Passwort geschützt.
% pktool list
Found number certificates.
1. (X.509 certificate)
Label: label-name
ID: Fingerprint that binds certificate to private key
Subject: subject-DN
Issuer: distinguished-name
Serial: hex-serial-number
2. ...Verwenden Sie den Schlüsselspeicher und die Beschriftung aus dem Befehl pktool list. Geben Sie einen Dateinamen für die Exportdatei an. Wenn der Name ein Leerzeichen enthält, setzen Sie ihn in doppelte Anführungszeichen.
% pktool export keystore=keystore outfile=outfile-name label=label-name
Geben Sie bei Aufforderung das aktuelle Passwort für den Schlüsselspeicher ein. An diesem Punkt erstellen Sie ein Passwort für die Exportdatei. Der Empfänger muss dieses Passwort beim Importieren der Datei angeben.
Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Enter password to use for accessing the PKCS12 file:Create PKCS #12 password
Tipp - Senden Sie das Passwort separat von der Exportdatei. Gemäß der Best Practices empfiehlt es sich, das Passwort außerbandig anzugeben, z. B. während eines Telefonanrufs.
Beispiel 15-4 Exportieren eines Zertifikats und eines privaten Schlüssels im PKCS #12-Format
Im folgenden Beispiel exportiert ein Benutzer die privaten Schlüssel mit dem dazugehörigen X.509-Zertifikat in eine standardmäßige PKCS #12-Datei. Diese Datei kann in andere Schlüsselspeicher importiert werden. Das PKCS #11-Passwort schützt den Quellschlüsselspeicher. Das PKCS #12-Passwort wird zum Schützen privater Daten in der PKCS #12-Datei verwendet. Dieses Passwort wird zum Importieren der Datei benötigt.
% pktool list
Found 1 certificates.
1. (X.509 certificate)
Label: My Cert
ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb
Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA
Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA
Serial: 0x01% pktool export keystore=pkcs11 outfile=mydata.p12 label="My Cert" Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Enter password to use for accessing the PKCS12 file:Create PKCS #12 password
Der Benutzer telefoniert dann mit dem Empfänger und stellt das PKCS #12-Passwort bereit.
Sie können einen Passwortsatz für ein Objekt in einem Schlüsselspeicher sowie für den Schlüsselspeicher selbst generieren. Der Passwortsatz ist für den Zugriff auf das Objekt oder den Schlüsselspeicher erforderlich. In Beispiel 15-4 wird die Generierung eines Passwortsatzes für ein Objekt in einem Schlüsselspeicher dargestellt.
% pktool setpin keystore=nss|pkcs11 dir=directory
Wenn für den Schlüsselspeicher noch kein Passwort festgelegt wurde, drücken Sie die Eingabetaste, um das Passwort zu erstellen.
Enter current token passphrase:Press the Return key Create new passphrase:Type the passphrase that you want to use Re-enter new passphrase:Retype the passphrase Passphrase changed.
Der Schlüsselspeicher wird jetzt durch passphrase geschützt. Wenn Sie den Passwortsatz verlieren, können Sie nicht mehr auf die Objekte im Schlüsselspeicher zugreifen.
Beispiel 15-5 Schützen eines Schlüsselspeichers mit einem Passwortsatz
Im folgenden Beispiel wird dargestellt, wie der Passwortsatz für eine NSS-Datenbank festgelegt wird. Da kein Passwortsatz erstellt wurde, drückt der Benutzer die Eingabetaste bei der ersten Aufforderung.
% pktool setpin keystore=nss dir=/var/nss Enter current token passphrase:Press the Return key Create new passphrase: has8n0NdaH Re-enter new passphrase: has8n0NdaH Passphrase changed.
|