Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
Uso de la estructura criptográfica (mapa de tareas)
Protección de los archivos con la estructura criptográfica (tareas)
Protección de archivos con la estructura criptográfica (mapa de tareas)
Cómo generar una clave simétrica con el comando dd
Cómo generar una clave simétrica con el comando pktool
Cómo calcular un resumen de un archivo
Cómo calcular un MAC de un archivo
Cómo cifrar y descifrar un archivo
Administración de la estructura criptográfica (tareas)
Administración de la estructura criptográfica (mapa de tareas)
Cómo mostrar los proveedores disponibles
Cómo agregar un proveedor de software
Cómo evitar el uso de un mecanismo de nivel de usuario
Cómo evitar el uso de un proveedor de software de núcleo
Cómo mostrar proveedores de hardware
Cómo deshabilitar funciones y mecanismos del proveedor de hardware
Cómo actualizar o reiniciar todos los servicios criptográficos
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
En esta sección se describe cómo administrar proveedores de software y hardware en la estructura criptográfica. Los proveedores de software y hardware se pueden eliminar para no ser utilizados cuando se desee. Por ejemplo, puede deshabilitar la implementación de un algoritmo de un proveedor de software. A continuación, puede forzar al sistema a utilizar el algoritmo de otro proveedor de software.
En el siguiente mapa de tareas se hace referencia a los procedimientos para administrar a los proveedores de software y hardware en la estructura criptográfica.
|
La estructura criptográfica proporciona algoritmos para diversos tipos de consumidores:
Los proveedores de nivel de usuario brindan una interfaz criptográfica PKCS #11 a las aplicaciones que están enlazadas a la biblioteca libpkcs11
Los proveedores de software de núcleo brindan algoritmos para IPsec, Kerberos y otros componentes de núcleo de Oracle Solaris
Los proveedores de hardware de núcleo brindan algoritmos que están disponibles para los consumidores del núcleo y para las aplicaciones por medio de la biblioteca pkcs11_kernel
Nota - El contenido y el formato de la lista de proveedores varían para las distintas versiones de Oracle Solaris. Ejecute el comando cryptoadm list en el sistema, para ver los proveedores que admite el sistema.
Sólo los mecanismos de nivel de usuario están disponibles para ser utilizados por los usuarios comunes.
% cryptoadm list User-level providers: Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so Provider: /usr/lib/security/$ISA/pkcs11_tpm.so Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand Kernel hardware providers: ncp/0
Todos los mecanismos se muestran en el siguiente resultado. Sin embargo, es posible que algunos de los mecanismos de la lista no estén disponibles para su uso. Para incluir en la lista sólo los mecanismos que el administrador ha aprobado para su uso, consulte el Ejemplo 12-20.
La salida se trunca con fines de visualización.
% cryptoadm list -m User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented. Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL ... CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE Provider: /usr/lib/security/$ISA/pkcs11_tpm.so /usr/lib/security/$ISA/pkcs11_tpm.so: no slots presented. Kernel software providers: ========================== des: CKM_DES_ECB,CKM_DES_CBC,CKM_DES3_ECB,CKM_DES3_CBC aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC arcfour: CKM_RC4 blowfish: CKM_BLOWFISH_ECB,CKM_BLOWFISH_CBC ecc: CKM_EC_KEY_PAIR_GEN,CKM_ECDH1_DERIVE,CKM_ECDSA,CKM_ECDSA_SHA1 sha1: CKM_SHA_1,CKM_SHA_1_HMAC,CKM_SHA_1_HMAC_GENERAL sha2: CKM_SHA256,CKM_SHA256_HMAC,CKM_SHA256_HMAC_GENERAL,CKM_SHA384,CKM_SHA384_HMAC, CKM_SHA384_HMAC_GENERAL,CKM_SHA512,CKM_SHA512_HMAC,CKM_SHA512_HMAC_GENERAL md4: CKM_MD4 md5: CKM_MD5,CKM_MD5_HMAC,CKM_MD5_HMAC_GENERAL rsa: CKM_RSA_PKCS,CKM_RSA_X_509,CKM_MD5_RSA_PKCS,CKM_SHA1_RSA_PKCS, CKM_SHA256_RSA_PKCS,CKM_SHA384_RSA_PKCS,CKM_SHA512_RSA_PKCS swrand: No mechanisms presented. Kernel hardware providers: ========================== ncp/0: CKM_DSA,CKM_RSA_X_509,CKM_RSA_PKCS,CKM_RSA_PKCS_KEY_PAIR_GEN, CKM_DH_PKCS_KEY_PAIR_GEN,CKM_DH_PKCS_DERIVE,CKM_EC_KEY_PAIR_GEN, CKM_ECDH1_DERIVE,CKM_ECDSA
Ejemplo 12-19 Búsqueda de los mecanismos criptográficos existentes
En el siguiente ejemplo, se muestran todos los mecanismos que ofrece la biblioteca de nivel de usuario, pkcs11_softtoken.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so Mechanisms: CKM_DES_CBC CKM_DES_CBC_PAD CKM_DES_ECB CKM_DES_KEY_GEN CKM_DES_MAC_GENERAL CKM_DES_MAC … CKM_ECDSA CKM_ECDSA_SHA1 CKM_ECDH1_DERIVE
Ejemplo 12-20 Búsqueda de los mecanismos criptográficos disponibles
La política determina qué mecanismos están disponibles para su uso. El administrador define la política. Un administrador puede elegir deshabilitar los mecanismos de un proveedor determinado. La opción -p muestra la lista de los mecanismos permitidos por la política que el administrador ha definido.
% cryptoadm list -p User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_kernel.so: all mechanisms are enabled. /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_MD5. random is enabled. /usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled. Kernel software providers: ========================== des: all mechanisms are enabled. aes: all mechanisms are enabled. arcfour: all mechanisms are enabled. blowfish: all mechanisms are enabled. ecc: all mechanisms are enabled. sha1: all mechanisms are enabled. sha2: all mechanisms are enabled. md4: all mechanisms are enabled. md5: all mechanisms are enabled. rsa: all mechanisms are enabled. swrand: random is enabled. Kernel hardware providers: ========================== ncp/0: all mechanisms are enabled. random is enabled.
Ejemplo 12-21 Determinación de qué mecanismo criptográfico realiza cada función
Los mecanismos realizan funciones criptográficas específicas, como la firma o generación de claves. Las opciones -v y -m muestran cada mecanismo y sus funciones.
En esta instancia, el administrador desea determinar para qué funciones los mecanismos CKM_ECDSA* se pueden utilizar.
% cryptoadm list -vm User-level providers: ===================== Provider: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_kernel.so: no slots presented. Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so ... CKM_ECDSA 112 571 . . . . X . X . . . . . . CKM_ECDSA_SHA1 112 571 . . . . X . X . . . . . . ...
La lista indica que estos mecanismos a nivel de usuario están disponibles desde la biblioteca /usr/lib/security/$ISA/pkcs11_softtoken.so.
Cada artículo en una entrada representa una parte de la información sobre el mecanismo. Para estos mecanismos ECC, la lista indica lo siguiente:
Longitud mínima: 112 bytes.
Longitud máxima: 571 bytes.
Hardware: no está disponible en el hardware.
Cifrar: no se utiliza para cifrar datos.
Descifrar: no se utiliza para descifrar datos.
Resumir: no se utiliza para crear resúmenes de mensajes.
Firmar: se utiliza para firmar datos.
Firmar + recuperar: no se utiliza para firmar datos, donde los datos se pueden recuperar de la firma.
Verificar: se utiliza para verificar datos firmados.
Verificar + recuperar: no se utiliza para verificar los datos que se pueden recuperar de la firma.
Generación de claves: no se utiliza para generar una clave privada.
Generación de par: no se utiliza para generar un par de claves.
Ajustar: no se utiliza para ajustar. Es decir, cifrar una clave existente.
Desajustar: no se utiliza para desajustar una clave ajustada.
Derivar: no se utiliza para derivar una nueva clave de una clave de base.
Antes de empezar
Se debe tener asignado el perfil de derechos de gestión de cifrado.
Para obtener más información, consulte Cómo obtener derechos administrativos.
% cryptoadm list User-level providers: Provider: /usr/lib/security/$ISA/pkcs11_kernel.so Provider: /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so: all mechanisms are enabled. Kernel software providers: des aes arcfour blowfish sha1 sha2 md4 md5 rsa swrand Kernel hardware providers: ncp/0
Oracle ha emitido un certificado al proveedor de software existente.
Si agregó un proveedor de software o si agregó hardware y especificó una política para el hardware, debe refrescar los proveedores.
# svcadm refresh svc:/system/cryptosvc
En este caso, se instaló un nuevo proveedor de software de núcleo.
# cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand sha3 <-- added provider …
Ejemplo 12-22 Adición de un proveedor de software de nivel de usuario
En el ejemplo siguiente, se instala una biblioteca PKCS #11 registrada.
# pkgadd -d /cdrom/cdrom0/SolarisNew Answer the prompts # svcadm refresh system/cryptosvc # cryptoadm list user-level providers: ========================== /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so /opt/lib/$ISA/libpkcs11.so.1 <-- added provider
Los desarrolladores que estén probando una biblioteca con la estructura criptográfica pueden instalar la biblioteca manualmente.
# cryptoadm install provider=/opt/lib/\$ISA/libpkcs11.so.1
Si algunos de los mecanismos criptográficos de un proveedor de biblioteca no se deben utilizar, puede eliminar los mecanismos seleccionados. Este procedimiento utiliza el mecanismo DES en la biblioteca pkcs11_softtoken como ejemplo.
Antes de empezar
Se debe tener asignado el perfil de derechos de gestión de cifrado.
Para obtener más información, consulte Cómo obtener derechos administrativos.
% cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, CKM_AES_CBC,CKM_AES_CBC_PAD,CKM_AES_ECB,CKM_AES_KEY_GEN, …
$ cryptoadm list -p user-level providers: ===================== … /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled. …
$ cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB
$ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
Ejemplo 12-23 Habilitación de un mecanismo de proveedor de software de nivel de usuario
En el ejemplo siguiente, un mecanismo DES inhabilitado se vuelve a poner a disposición para su uso.
$ cryptoadm list -m provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: CKM_DES_CBC,CKM_DES_CBC_PAD,CKM_DES_ECB,CKM_DES_KEY_GEN, CKM_DES3_CBC,CKM_DES3_CBC_PAD,CKM_DES3_ECB,CKM_DES3_KEY_GEN, … $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled. $ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so \ > mechanism=CKM_DES_ECB $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled, except CKM_DES_CBC_PAD,CKM_DES_CBC. random is enabled.
Ejemplo 12-24 Habilitación de todos los mecanismos de proveedor de software de nivel de usuario
En el ejemplo siguiente, se habilitan todos mecanismos de la biblioteca de nivel de usuario.
$ cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so all $ cryptoadm list -p provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_softtoken.so: all mechanisms are enabled. random is enabled.
Ejemplo 12-25 Eliminación permanente de la disponibilidad del proveedor de software de nivel de usuario
En el ejemplo siguiente, se elimina la biblioteca libpkcs11.so.1.
$ cryptoadm uninstall provider=/opt/lib/\$ISA/libpkcs11.so.1 $ cryptoadm list user-level providers: /usr/lib/security/$ISA/pkcs11_kernel.so /usr/lib/security/$ISA/pkcs11_softtoken.so /usr/lib/security/$ISA/pkcs11_tpm.so kernel software providers: …
Si la estructura criptográfica proporciona múltiples modos de un proveedor como AES, puede eliminar un mecanismo lento para no utilizarlo o un mecanismo dañado. Este procedimiento utiliza el algoritmo AES como ejemplo.
Antes de empezar
Se debe tener asignado el perfil de derechos de gestión de cifrado.
Para obtener más información, consulte Cómo obtener derechos administrativos.
$ cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
$ cryptoadm disable provider=aes mechanism=CKM_AES_ECB
$ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB.
Ejemplo 12-26 Habilitación de un mecanismo de proveedor de software de núcleo
En el ejemplo siguiente, un mecanismo AES inhabilitado se vuelve a poner a disposición para su uso.
cryptoadm list -m provider=aes aes: CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC $ cryptoadm list -p provider=aes aes: all mechanisms are enabled, except CKM_AES_ECB. $ cryptoadm enable provider=aes mechanism=CKM_AES_ECB $ cryptoadm list -p provider=aes aes: all mechanisms are enabled.
Ejemplo 12-27 Eliminación temporal de la disponibilidad de un proveedor de software de núcleo
En el siguiente ejemplo, se elimina temporalmente el proveedor AES para no utilizarlo. El subcomando unload es útil para evitar que un proveedor se cargue automáticamente mientras el proveedor se está desinstalando. Por ejemplo, el subcomando unload se utilizaría durante la instalación de un parche que afecte al proveedor.
$ cryptoadm unload provider=aes
$ cryptoadm list … Kernel software providers: des aes (inactive) arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
El proveedor AES no estará disponible hasta que la estructura criptográfica se haya refrescado.
$ svcadm refresh system/cryptosvc
$ cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
Si un consumidor de núcleo está utilizando el proveedor de software de núcleo, el software no se descarga. Se muestra un mensaje de error y el proveedor sigue estando disponible para su uso.
Ejemplo 12-28 Eliminación permanente de la disponibilidad de un proveedor de software
En el siguiente ejemplo, se elimina el proveedor AES para no utilizarlo. Una vez eliminado, el proveedor AES no aparece en la lista de la política de los proveedores de software de núcleo.
$ cryptoadm uninstall provider=aes
$ cryptoadm list … Kernel software providers: des arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
Si el consumidor de núcleo está utilizando el proveedor de software de núcleo, se muestra un mensaje de error y el proveedor sigue estando disponible para su uso.
Ejemplo 12-29 Reinstalación de un proveedor de software de núcleo eliminado
En el siguiente ejemplo, se reinstala el proveedor de software de núcleo AES.
$ cryptoadm install provider=aes \ mechanism=CKM_AES_ECB,CKM_AES_CBC,CKM_AES_CTR,CKM_AES_CCM,CKM_AES_GCM,CKM_AES_GMAC
$ cryptoadm list … Kernel software providers: des aes arcfour blowfish ecc sha1 sha2 md4 md5 rsa swrand
Los proveedores de hardware se ubican y cargan automáticamente. Para obtener más información, consulte la página del comando man driver.conf(4).
Antes de empezar
Cuando cuenta con hardware que piensa usar dentro de la estructura criptográfica, el hardware se registra con el SPI en el núcleo. La estructura comprueba que el controlador de hardware esté registrado. Específicamente, la estructura comprueba que el archivo de objeto del controlador esté registrado con un certificado emitido por Sun.
Por ejemplo, la placa Sun Crypto Accelerator 6000 (mca), el controlador ncp para el acelerador criptográfico en los procesadores UltraSPARC T1 y T2 (ncp), y el controlador n2cp para los procesadores UltraSPARC T2 (n2cp) conectan los mecanismos de hardware a la estructura.
Para obtener información sobre cómo registrar a su proveedor, consulte Firmas binarias para software de terceros.
% cryptoadm list … kernel hardware providers: ncp/0
% cryptoadm list -m provider=ncp/0 ncp/0: CKM_DSA CKM_RSA_X_509 ... CKM_ECDH1_DERIVE CKM_ECDSA
% cryptoadm list -p provider=ncp/0 ncp/0: all mechanisms are enabled.
Puede deshabilitar de manera selectiva los mecanismos y la función de números aleatorios de un proveedor de hardware. Para habilitarlos nuevamente, consulte el Ejemplo 12-30. El hardware de este ejemplo, la placa Crypto Accelerator 1000 de Sun, proporciona un generador de números aleatorios.
Antes de empezar
Se debe tener asignado el perfil de derechos de gestión de cifrado.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Muestre el proveedor de hardware.
# cryptoadm list ... Kernel hardware providers: dca/0
# cryptoadm list -m provider=dca/0 dca/0: CKM_RSA_PKCS, CKM_RSA_X_509, CKM_DSA, CKM_DES_CBC, CKM_DES3_CBC random is enabled. # cryptoadm disable provider=dca/0 mechanism=CKM_DES_CBC,CKM_DES3_CBC # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_CBC,CKM_DES3_CBC. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is enabled.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled. # cryptoadm disable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are disabled. random is disabled.
Ejemplo 12-30 Habilitación de mecanismos y funciones en un proveedor de hardware
En los siguientes ejemplos, los mecanismos inhabilitados en una herramienta de hardware se habilitan de manera selectiva.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB,CKM_DES3_ECB
. random is enabled. # cryptoadm enable provider=dca/0 mechanism=CKM_DES3_ECB # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled except CKM_DES_ECB. random is enabled.
En el ejemplo siguiente, sólo se habilita el generador aleatorio.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 random # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is enabled.
En el ejemplo siguiente, sólo se habilitan los mecanismos. El generador aleatorio continúa inhabilitado.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_MD5,CKM_MD5_HMAC,…. random is disabled. # cryptoadm enable provider=dca/0 mechanism=all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is disabled.
En el ejemplo siguiente, se habilitan todas las funciones y los mecanismos de la placa.
# cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled, except CKM_DES_ECB,CKM_DES3_ECB. random is disabled. # cryptoadm enable provider=dca/0 all # cryptoadm list -p provider=dca/0 dca/0: all mechanisms are enabled. random is enabled.
De manera predeterminada, la estructura criptográfica está habilitada. Cuando el daemon kcfd falla por cualquier motivo, la utilidad de gestión de servicios (SMF) se puede utilizar para reiniciar los servicios criptográficos. Para obtener más información, consulte las páginas del comando man smf(5) y svcadm(1M). Para ver el efecto del reinicio de servicios criptográficos en las zonas, consulte Zonas y servicios criptográficos.
Antes de empezar
Se debe tener asignado el perfil de derechos de gestión de cifrado.
Para obtener más información, consulte Cómo obtener derechos administrativos.
% svcs cryptosvc STATE STIME FMRI offline Dec_09 svc:/system/cryptosvc:default
# svcadm enable svc:/system/cryptosvc
Ejemplo 12-31 Actualización de los servicios criptográficos
En el siguiente ejemplo, se actualizan los servicios criptográficos en la zona global. Por lo tanto, también se actualiza la política criptográfica de nivel de núcleo de cada zona no global.
# svcadm refresh system/cryptosvc