Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Gestion des technologies à clé publique
Utilitaires de la structure de gestion des clés
Utilisation de la structure de gestion des clés (liste des tâches)
Utilisation de la structure de gestion des clés (tâches)
Procédure de création d'un certificat à l'aide de la commande pktool gencert
Procédure d'importation d'un certificat dans votre keystore
Procédure d'exportation d'un certificat et de la clé privée au format PKCS #12
Procédure de génération d'une phrase de passe à l'aide de la commande pktool setpin.
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Cette section décrit l'utilisation de la commande pktool pour gérer vos objets de clé publique, tels que des mots et phrases de passe, des fichiers, des keystores, des certificats et des CRL.
Cette procédure crée un certificat autosigné et le stocke dans le keystore PKCS #11. Dans le cadre de cette opération, une paire de clés publique et privée RSA est également créée. La clé privée est stockée dans le keystore avec le certificat.
% pktool gencert [keystore=keystore] label=label-name \ subject=subject-DN serial=hex-serial-number
Spécifie le keystore par type d'objet de clé publique. La valeur peut être nss, pkcs11 ou ssl. Ce mot de passe est facultatif.
Spécifie un nom unique donné au certificat par l'émetteur.
Spécifie le nom distinctif du certificat.
Spécifie le numéro de série au format hexadécimal. L'émetteur du certificat choisit ce nombre, comme par exemple 0x0102030405.
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: Fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number n. ...
Cette commande répertorie tous les certificats dans le keystore. Dans l'exemple suivant, le keystore ne contient qu'un seul certificat.
Exemple 15-1 Création d'un certificat autosigné à l'aide de pktool
Dans l'exemple suivant, un utilisateur à My Company crée un certificat autosigné et le stocke dans un keystore pour les objets PKCS #11. Le keystore est initialement vide. Si le keystore n'a pas été initialisé, le code PIN pour le softtoken est changeme.
% pktool gencert keystore=pkcs11 label="My Cert" \ subject="C=US, O=My Company, OU=Security Engineering Group, CN=MyCA" \ serial=0x000000001 Enter pin for Sun Software PKCS#11 softtoken:Type PIN for token
% pktool list Found 1 certificates. 1. (X.509 certificate) Label: My Cert ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Serial: 0x01
Cette procédure explique comment importer un fichier contenant des informations PKI codé avec PEM ou DER raw dans votre keystore. Pour connaître la procédure d'exportation, reportez-vous à l'Exemple 15-4.
% pktool import keystore=keystore infile=infile-name label=label-name
Si vous importez des informations PKI privées, tels qu'un fichier d'exportation au format PKCS #12, le fichier nécessite un mot de passe. Le créateur du fichier que vous importez vous fournit le mot de passe PKCS #12.
Enter password to use for accessing the PKCS12 file:Type PKCS #12 password
Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: Fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number 2. ...
Exemple 15-2 Importation d'un fichier PKCS #12 dans votre keystore
Dans l'exemple suivant, l'utilisateur importe un fichier PKCS #12 d'un tiers. La commande pktool import extrait la clé privée et le certificat du fichier gracedata.p12 et les stocke dans le keystore préféré de l'utilisateur.
% pktool import keystore=pkcs11 infile=gracedata.p12 label=GraceCert Enter password to use for accessing the PKCS12 file:Type PKCS #12 password Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Found 1 certificate(s) and 1 key(s) in gracedata.p12 % pktool list Found 1 certificates. 1. (X.509 certificate) Label: GraceCert ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Serial: 0x01
Exemple 15-3 Importation d'un certificat X.509 dans votre keystore
Dans l'exemple suivant, l'utilisateur importe un certificat X.509 au format PEM dans le keystore préféré de l'utilisateur. Ce certificat public n'est pas protégé par un mot de passe. Le keystore public de l'utilisateur n'est pas protégé par un mot de passe non plus.
% pktool import keystore=pkcs11 infile=somecert.pem label="TheirCompany Root Cert" % pktool list Found 1 certificates. 1. (X.509 certificate) Label: TheirCompany Root Cert ID: 21:ae:83:98:24:d1:1f:cb:65:5b:48:75:7d:02:47:cf:98:1f:ec:a0 Subject: C=US, O=TheirCompany, OU=Security, CN=TheirCompany Root CA Issuer: C=US, O=TheirCompany, OU=Security, CN=TheirCompany Root CA Serial: 0x01
Vous pouvez créer un fichier au format PKCS #12 afin d'exporter des clés privées et leur certificat X.509 associé vers d'autres systèmes. L'accès au fichier est protégé par un mot de passe.
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: Fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number 2. ...
Utilisez le keystore et l'étiquette de la commande pktool list. Donnez un nom au fichier d'exportation. Si le nom contient un espace, mettez le nom entre guillemets.
% pktool export keystore=keystore outfile=outfile-name label=label-name
À l'invite, entrez le mot de passe courant du keystore. À ce stade, vous créez un mot de passe pour le fichier d'exportation. Le destinataire doit fournir ce mot de passe lors de l'importation du fichier.
Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Enter password to use for accessing the PKCS12 file:Create PKCS #12 password
Astuce - Envoyez le mot de passe séparément du fichier d'exportation. Les pratiques recommandées suggèrent que vous fournissiez le mot de passe hors bande, par exemple lors d'un appel téléphonique.
Exemple 15-4 Exportation d'un certificat et de la clé privée au format PKCS #12
Dans l'exemple suivant, un utilisateur exporte les clés privées avec leur certificat X.509 associé dans un fichier PKCS #12 normal. Ce fichier peut être importé dans d'autres keystores. Le mot de passe PKCS #11 protège le keystore source. Le mot de passe PKCS #12 est utilisé pour protéger des données privées dans le fichier PKCS #12. Ce mot de passe est requis pour importer le fichier.
% pktool list Found 1 certificates. 1. (X.509 certificate) Label: My Cert ID: 12:82:17:5f:80:78:eb:44:8b:98:e3:3c:11:c0:32:5e:b6:4c:ea:eb Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Serial: 0x01
% pktool export keystore=pkcs11 outfile=mydata.p12 label="My Cert" Enter pin for Sun Software PKCS#11 softtoken: Type PIN for token Enter password to use for accessing the PKCS12 file:Create PKCS #12 password
L'utilisateur appelle ensuite le destinataire par téléphone pour lui fournir le mot de passe PKCS #12.
Vous pouvez générer une phrase de passe pour un objet dans un keystore et pour le keystore lui-même. La phrase de passe est nécessaire pour accéder à l'objet ou au keystore. Pour un exemple de génération d'une phrase de passe pour un objet dans un keystore, reportez-vous à l'Exemple 15-4.
% pktool setpin keystore=nss|pkcs11 dir=directory
Si aucun mot de passe n'est encore défini pour le keystore, appuyez sur la touche Entrée pour créer le mot de passe.
Enter current token passphrase:Press the Return key Create new passphrase:Type the passphrase that you want to use Re-enter new passphrase:Retype the passphrase Passphrase changed.
Le keystore est maintenant protégé par une passphrase. Si vous perdez la phrase de passe, vous perdez l'accès aux objets dans le keystore.
Exemple 15-5 Protection d'un keystore par une phrase de passe
L'exemple suivant montre comment définir la phrase de passe pour une base de données NSS. Comme aucune phrase de passe n'a été créée, l'utilisateur appuie sur la touche Entrée à la première invite.
% pktool setpin keystore=nss dir=/var/nss Enter current token passphrase:Press the Return key Create new passphrase: has8n0NdaH Re-enter new passphrase: has8n0NdaH Passphrase changed.