跳过导航链接 | |
退出打印视图 | |
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
如何为 ipsecinit.conf 中的新策略项添加 IKE 预先共享密钥
25. Oracle Solaris 中的 IP 过滤器(概述)
公钥证书也可以存储在连接的硬件上。Sun Crypto Accelerator 1000 板仅提供存储。Sun Crypto Accelerator 4000 和 Sun Crypto Accelerator 6000 板提供存储,并允许将公钥操作从系统转移到板上。
开始之前
以下过程假定 Sun Crypto Accelerator 1000 板已连接到系统。此过程还假定已安装板的软件,而且已配置该软件。有关说明,请参见《Sun Crypto Accelerator 1000 Board Version 2.0 Installation and User’s Guide》。
主管理员角色拥有主管理员配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
注 - 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录,系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。
键入以下命令,以确定 PKCS #11 库是否已链接:
# ikeadm get stats Phase 1 SA counts: Current: initiator: 0 responder: 0 Total: initiator: 0 responder: 0 Attempted: initiator: 0 responder: 0 Failed: initiator: 0 responder: 0 initiator fails include 0 time-out(s) PKCS#11 library linked in from /usr/lib/libpkcs11.so #
有关 Solaris 加密框架提供的密钥库的信息,请参见 cryptoadm(1M) 手册页。有关使用密钥库的示例,请参见Example 23–12。
开始之前
以下过程假定 Sun Crypto Accelerator 4000 板已连接到系统。此过程还假定已安装板的软件,而且已配置该软件。有关说明,请参见《Sun Crypto Accelerator 4000 Board Version 1.1 Installation and User’s Guide》。
如果使用的是 Sun Crypto Accelerator 6000 板,请参见《Sun Crypto Accelerator 6000 Board Version 1.1 User’s Guide》获取说明。
主管理员角色拥有主管理员配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
注 - 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录,系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。
IKE 使用该库的例程在 Sun Crypto Accelerator 4000 板上处理密钥生成和密钥存储。键入以下命令,以确定 PKCS #11 库是否已链接:
$ ikeadm get stats … PKCS#11 library linked in from /usr/lib/libpkcs11.so $
注 - 对于 RSA,Sun Crypto Accelerator 4000 板最多支持 2048 位的密钥。对于 DSA,此板最多支持 1024 位的密钥。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
该库返回一个包含 32 个字符的标记 ID(也称为 keystore name(密钥库名称))。在此示例中,可以将 Sun Metaslot 标记与 ikecert 命令一起使用来存储和加速 IKE 密钥。
有关如何使用标记的说明,请参见如何在硬件上生成和存储公钥证书。
结尾空格是由 ikecert 命令自动填充的。
示例 23-12 查找和使用 metaslot 标记
标记可以存储在磁盘上、连接板上或 Solaris 加密框架提供的 softtoken 密钥库中。softtoken 密钥库标记 ID 可能与以下信息类似。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
有关如何为 softtoken 密钥库创建口令短语,请参见 pktool(1) 手册页。
如下所示的命令可向 softtoken 密钥库添加证书。Sun.Metaslot.cert 是一个包含 CA 证书的文件。
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase