JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Administración de Oracle Solaris: servicios IP     Oracle Solaris 11 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

Parte I Administración de TCP/IP

1.  Planificación de la implementación de red

2.  Consideraciones para el uso de direcciones IPv6

3.  Configuración de una red IPv4

4.  Habilitación de IPv6 en una red

5.  Administración de una red TCP/IP

6.  Configuración de túneles IP

7.  Resolución de problemas de red

8.  Referencia de IPv4

9.  Referencia de IPv6

Parte II DHCP

10.  Acerca de DHCP (descripción general)

11.  Administración del servicio DHCP de ISC

12.  Configuración y administración del cliente DHCP

13.  Comandos y archivos DHCP (referencia)

Parte III Seguridad IP

14.  Arquitectura de seguridad IP (descripción general)

15.  Configuración de IPsec (tareas)

16.  Arquitectura de seguridad IP (referencia)

17.  Intercambio de claves de Internet (descripción general)

18.  Configuración de IKE (tareas)

19.  Intercambio de claves de Internet (referencia)

Servicio IKE

Daemon IKE

Archivo de configuración IKE

Comando ikeadm

Archivos de claves IKE previamente compartidas

Comandos y bases de datos de claves públicas IKE

Comando ikecert tokens

Comando ikecert certlocal

Comando ikecert certdb

Comando ikecert certrldb

Directorio /etc/inet/ike/publickeys

Directorio /etc/inet/secret/ike.privatekeys

Directorio /etc/inet/ike/crls

20.  Filtro IP en Oracle Solaris (descripción general)

21.  Filtro IP (tareas)

Parte IV Rendimiento de redes

22.  Descripción general del equilibrador de carga integrado

23.  Configuración del equilibrador de carga integrado (tareas)

24.  Protocolo de redundancia de enrutador virtual (descripción general)

25.  Configuración VRRP (tareas)

26.  Implementación del control de congestión

Parte V Calidad de servicio IP (IPQoS)

27.  Introducción a IPQoS (descripción general)

28.  Planificación para una red con IPQoS (tareas)

29.  Creación del archivo de configuración IPQoS (tareas)

30.  Inicio y mantenimiento de IPQoS (tareas)

31.  Uso de control de flujo y recopilación de estadísticas (tareas)

32.  IPQoS detallado (referencia)

Glosario

Índice

Comandos y bases de datos de claves públicas IKE

El comando ikecert administra las bases de datos de claves públicas del sistema local. Este comando se utiliza cuando el archivo ike/config requiere certificados de claves públicas. Dado que IKE utiliza estas bases de datos para autenticar el intercambio de fase 1, las bases de datos deben rellenarse antes de activar el daemon in.iked. Existen tres subcomandos que administran las tres bases de datos: certlocal, certdb y certrldb.

El comando ikecert también administra el almacenamiento de claves. Las claves se pueden almacenar en disco, en una placa Sun Crypto Accelerator 6000 conectada o en un almacén de claves de token de software. El almacén de claves de token de software está disponible cuando la metarranura de la estructura criptográfica se utiliza para comunicarse con el dispositivo de hardware. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de claves.

Para obtener más información, consulte la página del comando man ikecert(1M). Para obtener información sobre la metarranura y el almacén de claves softtoken, consulte la página del comando man cryptoadm(1M).

Comando ikecert tokens

El argumento tokens enumera los ID de testigo que están disponibles. Los ID de símbolo permiten a los comandos ikecert certlocal e ikecert certdb generar certificados de claves públicas y solicitudes de certificados. Las certificados y las solicitudes de certificados también se pueden almacenar mediante la estructura criptográfica del almacén de claves de token de software, o bien en una placa Sun Crypto Accelerator 6000 conectada. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de certificados.

Comando ikecert certlocal

El subcomando certlocal administra la base de datos de claves privadas. Las opciones de este subcomando permiten agregar, ver y eliminar claves privadas. Este subcomando también crea un certificado autofirmado o una solicitud de certificado. La opción -ks crea un certificado autofirmado. La opción -kc crea una solicitud de certificado. Las claves se almacenan en el directorio /etc/inet/secret/ike.privatekeys del sistema o en el hardware conectado con la opción -T.

Al crear una clave privada, las opciones del comando ikecert certlocal deben tener entradas relacionadas en el archivo ike/config. La tabla siguiente muestra las correspondencias entre las opciones ikecert y las entradas ike/config.

Tabla 19-1 Correspondencias entre las opciones ikecert y las entradas ike/config

Opción ikecert
Entrada ike/config
Descripción
-A nombre_alternativo_tema
cert_trust nombre_alternativo_tema
Apodo que identifica el certificado de modo exclusivo. Los posibles valores son una dirección IP, una dirección de correo electrónico o un nombre de dominio.
-D nombre_distinguido_X.509
nombre_distinguido_X.509
El nombre completo de la autoridad de certificación que incluye el país (C), el nombre de organización (ON), la unidad organizativa (OU) y el nombre común (CN).
-t dsa-sha1
auth_method dsa_sig
Método de autenticación que es ligeramente más lento que RSA.
-t rsa-md5 y

-t rsa-sha1

auth_method rsa_sig
Método de autenticación que es ligeramente más lento que DSA.

La clave pública RSA debe ser lo suficientemente grande para cifrar la carga útil mayor. Normalmente, una carga útil de identidad, como el nombre distinguido X.509, es la mayor carga útil.

-t rsa-md5 y

-t rsa-sha1

auth_method rsa_encrypt
El cifrado RSA oculta las identidades de IKE de los intrusos, pero requiere que los equivalentes de IKE conozcan las claves públicas el uno del otro.

Si emite una solicitud de certificado con el comando ikecert certlocal -kc, envía el resultado del comando a una organización de PKI o a una autoridad de certificación. Si su compañía ejecuta su propio PKI, el resultado se envía al administrador de PKI. A continuación, la organización de PKI, la autoridad de certificación o el administrador de PKI crea los certificados. Los certificados que devuelve el PKI o la autoridad de certificación se incluyen en el subcomando certdb. La lista de revocación de certificados (CRL) que devuelve el PKI se incluye en el subcomando certrldb.

Comando ikecert certdb

El subcomando certdb administra la base de datos de claves públicas. Las opciones de este subcomando permiten agregar, ver y eliminar certificados y claves públicas. El comando acepta como entrada los certificados generados con el comando ikecert certlocal -ks en un sistema remoto. Para conocer el procedimiento, consulte Cómo configurar IKE con certificados de clave pública autofirmados. Este comando también acepta el certificado que recibe de un PKI o una autoridad de certificación. Para conocer el procedimiento, consulte Cómo configurar IKE con certificados firmados por una autoridad de certificación.

Los certificados y las claves públicas se almacenan en el directorio /etc/inet/ike/publickeys del sistema. La opción -T almacena los certificados, las claves privadas y las claves públicas del hardware conectado.

Comando ikecert certrldb

El subcomando certrldb administra la base de datos de listas de revocación de certificados (CRL), /etc/inet/ike/crls. La base de datos de CRL mantiene las listas de revocación para las claves públicas. En esta lista se incluyen los certificados que dejan de ser válidos. Cuando los PKI proporcionan una CRL, puede instalar la CRL en la base de datos de CRL con el comando ikecert certrldb. Para conocer el procedimiento, consulte Cómo administrar una lista de revocación de certificados.

Directorio /etc/inet/ike/publickeys

El directorio /etc/inet/ike/publickeys contiene la parte pública de un par de claves pública-privada y su certificado en los archivos o ranuras. El directorio se protege en 0755 . El comando ikecert certdb rellena el directorio. La opción -T almacena las claves en la placa Sun Crypto Accelerator 6000 en lugar de en el directorio publickeys.

Las ranuras contienen, de modo codificado, el nombre distinguido X.509 de un certificado generado en otro sistema. Si está utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si está utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de ésta en la base de datos. Se instala un certificado que está basado en la solicitud de firma de certificado que envió a la entidad certificadora (CA). También se instala un certificado de la entidad certificadora (CA).

Directorio /etc/inet/secret/ike.privatekeys

En el directorio /etc/inet/secret/ike.privatekeys, se almacenan archivos de clave privada que forman parte del par de claves pública-privada. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves públicas, certificados autofirmados o autoridades de certificación. Los equivalentes de clave pública se almacenan en el directorio /etc/inet/ike/publickeys o en hardware admitido.

Directorio /etc/inet/ike/crls

El directorio /etc/inet/ike/crls contiene archivos de lista de revocación de certificados (CRL). Cada archivo corresponde a un archivo de certificado público del directorio /etc/inet/ike/publickeys. Las organizaciones de PKI proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.