Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Administración de tecnologías de clave pública
Utilidades de la estructura de gestión de claves
Gestión de almacenes de claves KMF
Uso de la estructura de gestión de claves (mapa de tareas)
Uso de la estructura de gestión de claves (tareas)
Cómo crear un certificado mediante el comando pktool gencert
Cómo importar un certificado al almacén de claves
Cómo exportar un certificado y una clave privada en formato PKCS #12
Cómo generar una frase de contraseña mediante el comando pktool setpin
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
En esta sección, se describe cómo utilizar el comando pktool para gestionar los objetos de clave pública, como contraseñas, frases de contraseña, archivos, almacenes de claves, certificados y CRL.
Este procedimiento crea un certificado autofirmado y almacena el certificado en el almacén de claves PKCS #11. Como parte de esta operación, también se crea un par de claves RSA públicas/privadas. La clave privada está almacenada en el almacén de claves con el certificado.
% pktool gencert [keystore=keystore] label=label-name \ subject=subject-DN serial=hex-serial-number
Especifica el almacén de claves por tipo de objeto de clave pública. El valor puede ser nss, pkcs11 o ssl. La palabra clave es opcional.
Especifica un nombre único que el emisor asigna al certificado.
Especifica el nombre distintivo para el certificado.
Especifica el número de serie en formato hexadecimal. El emisor del certificado elige el número, como 0x0102030405.
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: Fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number n. ...
Este comando muestra todos los certificados del almacén de claves. En el ejemplo siguiente, el almacén de claves contiene un solo certificado.
Ejemplo 15-1 Creación de un certificado autofirmado mediante pktool
En el ejemplo siguiente, un usuario de My Company crea un certificado autofirmado y almacena el certificado en un almacén de claves para objetos PKCS #11. El almacén de claves está vacío inicialmente. Si el almacén de claves no se inicializó, el PIN para el token de software es changeme.
% pktool gencert keystore=pkcs11 label="My Cert" \ subject="C=US, O=My Company, OU=Security Engineering Group, CN=MyCA" \ serial=0x000000001 Enter pin for Sun Software PKCS#11 softtoken:Type PIN for token
% pktool list Found 1 certificates. 1. (X.509 certificate) Label: My Cert ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Serial: 0x01
Este procedimiento describe cómo importar al almacén de claves un archivo con información PKI que se codifica con PEM o con DER sin procesar. Para un procedimiento de exportación, consulte el Ejemplo 15-4.
% pktool import keystore=keystore infile=infile-name label=label-name
Si está importando información PKI que es privada, como un archivo de exportación en formato PKCS #12, el archivo requiere una contraseña. El creador del archivo que está importando proporciona la contraseña PKCS #12.
Enter password to use for accessing the PKCS12 file:Type PKCS #12 password
Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: Fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number 2. ...
Ejemplo 15-2 Importación de un archivo PKCS #12 al almacén de claves
En el ejemplo siguiente, el usuario importa un archivo PKCS #12 de terceros. El comando pktool import extrae la clave privada y el certificado del archivo gracedata.p12, y los almacena en el almacén de claves preferido del usuario.
% pktool import keystore=pkcs11 infile=gracedata.p12 label=GraceCert Enter password to use for accessing the PKCS12 file:Type PKCS #12 password Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Found 1 certificate(s) and 1 key(s) in gracedata.p12 % pktool list Found 1 certificates. 1. (X.509 certificate) Label: GraceCert ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Serial: 0x01
Ejemplo 15-3 Importación de un certificado X.509 al almacén de claves
En el ejemplo siguiente, el usuario importa un certificado X.509 en formato PEM al almacén de claves preferido del usuario. Este certificado público no está protegido con una contraseña. El almacén de claves del usuario tampoco está protegido con una contraseña.
% pktool import keystore=pkcs11 infile=somecert.pem label="TheirCompany Root Cert" % pktool list Found 1 certificates. 1. (X.509 certificate) Label: TheirCompany Root Cert ID: 21:ae:83:98:24:d1:1f:cb:65:5b:48:75:7d:02:47:cf:98:1f:ec:a0 Subject: C=US, O=TheirCompany, OU=Security, CN=TheirCompany Root CA Issuer: C=US, O=TheirCompany, OU=Security, CN=TheirCompany Root CA Serial: 0x01
Puede crear un archivo en formato PKCS #12 para exportar a otros sistemas las claves privadas y su certificado X.509 asociado. El acceso al archivo está protegido con una contraseña.
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: Fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number 2. ...
Utilice el almacén de claves y la etiqueta del comando pktool list. Proporcione un nombre de archivo para el archivo de exportación. Si el nombre contiene un espacio, escríbalo entre comillas dobles.
% pktool export keystore=keystore outfile=outfile-name label=label-name
En la petición de datos, escriba la contraseña actual para el almacén de claves. En este punto, puede crear una contraseña para el archivo de exportación. El destinatario debe proporcionar esta contraseña al importar el archivo.
Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Enter password to use for accessing the PKCS12 file:Create PKCS #12 password
Consejo - Envíe la contraseña por separado del archivo de exportación. De acuerdo con las prácticas recomendadas, es aconsejable proporcionar la contraseña fuera de banda, por ejemplo, durante una llamada telefónica.
Ejemplo 15-4 Exportación de un certificado y una clave privada en formato PKCS #12
En el ejemplo siguiente, un usuario exporta a un archivo PKCS #12 estándar las claves privadas con su certificado X.509 asociado. Este archivo se puede importar a otros almacenes de claves. La contraseña PKCS #11 protege el almacén de claves de origen. La contraseña PKCS #12 se utiliza para proteger los datos privados en el archivo PKCS #12. Esta contraseña es necesaria para importar el archivo.
% pktool list Found 1 certificates. 1. (X.509 certificate) Label: My Cert ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Serial: 0x01
% pktool export keystore=pkcs11 outfile=mydata.p12 label="My Cert" Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Enter password to use for accessing the PKCS12 file:Create PKCS #12 password
A continuación, el usuario llama por teléfono al destinatario y proporciona la contraseña PKCS #12.
Puede generar una frase de contraseña para un objeto de un almacén de claves y para el almacén de claves en sí. La frase de contraseña es necesaria para acceder al objeto o al almacén de claves. Para ver un ejemplo de generación de una frase de contraseña para un objeto de un almacén de claves, consulte el Ejemplo 15-4.
% pktool setpin keystore=nss|pkcs11 dir=directory
Si el almacén de claves no tiene una contraseña definida, presione la tecla de retorno para crear la contraseña.
Enter current token passphrase:Press the Return key Create new passphrase:Type the passphrase that you want to use Re-enter new passphrase:Retype the passphrase Passphrase changed.
El almacén de claves está ahora protegido por la frase de contraseña. Si pierde la frase de contraseña, perderá el acceso a los objetos del almacén de claves.
Ejemplo 15-5 Protección de un almacén de claves con una frase de contraseña
El ejemplo siguiente muestra cómo establecer la frase de contraseña para una base de datos NSS. Debido a que no se creó ninguna frase de contraseña, el usuario presiona la tecla de retorno en la primera petición de datos.
% pktool setpin keystore=nss dir=/var/nss Enter current token passphrase:Press the Return key Create new passphrase: has8n0NdaH Re-enter new passphrase: has8n0NdaH Passphrase changed.