IKE 공개 키 데이터베이스 및 명령

ikecert 명령은 로컬 시스템의 공개 키 데이터베이스를 조작합니다. ike/config 파일에 공개 키 인증서가 필요할 때 이 명령을 사용합니다. IKE는 이러한 데이터베이스를 사용하여 Phase 1 교환을 인증하므로 in.iked 데몬을 활성화하기 전에 데이터베이스를 채워야 합니다. 세 가지 하위 명령 certlocal, certdb, certrldb가 각각 세 데이터베이스를 처리합니다.

ikecert 명령은 키 저장소도 처리합니다. 디스크, 연결된 Sun Crypto Accelerator 6000 보드 또는 softtoken 키 저장소에 키를 저장할 수 있습니다. 암호화 프레임워크의 metaslot을 사용하여 하드웨어 장치와 통신할 때 softtoken 키 저장소를 사용할 수 있습니다. ikecert 명령은 PKCS #11 라이브러리를 사용하여 키 저장소를 찾습니다.

자세한 내용은 ikecert(1M) 매뉴얼 페이지를 참조하십시오. metaslot 및 softtoken 키 저장소에 대한 내용은 cryptoadm(1M) 매뉴얼 페이지를 참조하십시오.

`ikecert tokens` 명령

tokens 인수는 사용 가능한 토큰 ID를 나열합니다. 토큰 ID를 통해 ikecert certlocal 및 ikecert certdb 명령에서 공개 키 인증서 및 인증서 요청을 생성할 수 있습니다. 또한 암호화 프레임워크에서 softtoken 키 저장소 또는 연결된 Sun Crypto Accelerator 6000 보드에 인증서 및 인증서 요청을 저장할 수 있습니다. ikecert 명령은 PKCS #11 라이브러리를 사용하여 인증서 저장소를 찾습니다.

`ikecert certlocal` 명령

certlocal 하위 명령은 개인 키 데이터베이스를 관리합니다. 이 하위 명령의 옵션을 사용하여 개인 키를 추가, 보기, 제거할 수 있습니다. 또한 이 하위 명령은 자체 서명된 인증서 또는 인증서 요청을 만듭니다. -ks 옵션은 자체 서명된 인증서를 만듭니다. -kc 옵션은 인증서 요청을 만듭니다. 키는 /etc/inet/secret/ike.privatekeys 디렉토리에서 시스템에 저장되거나, -T 옵션을 사용하여 연결된 하드웨어에 저장됩니다.

개인 키를 만들 때 ikecert certlocal 명령의 옵션이 ike/config 파일의 항목과 관련을 맺어야 합니다. ikecert 옵션과 ike/config 항목 사이의 관련성이 다음 표에 표시됩니다.

표 19-1 ikecert 옵션과 ike/config 항목 사이의 관련성

`ikecert` 옵션	`ike/config` 항목	설명
`-A` `subject-alternate-name`	`cert_trust` `subject-alternate-name`	인증서를 고유하게 식별하는 별명입니다. 가능한 값은 IP 주소, 전자 메일 주소 또는 도메인 이름입니다.
`-D` `X.509-distinguished-name`	`X.509-distinguished-name`	국가(C), 조직 이름(ON), 조직 단위(OU), 공통 이름(CN)을 포함하는 인증 기관의 전체 이름입니다.
`-t dsa-sha1`	`auth_method dsa_sig`	RSA보다 약간 느린 인증 방법입니다.
`-t rsa-md5` 및 `-t rsa-sha1`	`auth_method rsa_sig`	DSA보다 약간 빠른 인증 방법입니다. RSA 공개 키는 가장 큰 페이로드를 암호화할 만큼 충분히 커야 합니다. 일반적으로 X.509 식별 이름과 같은 신원 페이로드가 가장 큰 페이로드입니다.
`-t rsa-md5` 및 `-t rsa-sha1`	`auth_method rsa_encrypt`	RSA 암호화는 도청자로부터 IKE의 신원을 숨기지만 IKE 피어가 서로의 공개 키를 알아야 합니다.

ikecert certlocal -kc 명령으로 인증서 요청을 발행하면 명령의 출력을 PKI 조직이나 인증 기관(CA)으로 보냅니다. 회사에서 고유의 PKI를 실행하는 경우 PKI 관리자에게 출력을 보냅니다. 그런 다음 PKI 조직, CA 또는 PKI 관리자가 인증서를 만듭니다. PKI 또는 CA가 반환하는 인증서는 certdb 하위 명령으로 입력됩니다. PKI가 반환하는 CRL(인증서 해지 목록)은 certrldb 하위 명령으로 입력됩니다.

`ikecert certdb` 명령

certdb 하위 명령은 공개 키 데이터베이스를 관리합니다. 이 하위 명령의 옵션을 사용하여 인증서 및 공개 키를 추가, 보기, 제거할 수 있습니다. 이 명령은 원격 시스템에서 ikecert certlocal -ks 명령으로 생성된 인증서를 입력으로 받아들입니다. 절차는 자체 서명된 공개 키 인증서로 IKE를 구성하는 방법을 참조하십시오. 또한 이 명령은 PKI 또는 CA로부터 받은 인증서를 입력으로 받아들입니다. 절차는 CA가 서명한 인증서로 IKE를 구성하는 방법을 참조하십시오.

인증서 및 공개 키는 /etc/inet/ike/publickeys 디렉토리에서 시스템에 저장됩니다. -T 옵션은 연결된 하드웨어에 인증서, 개인 키, 공개 키를 저장합니다.

`ikecert certrldb` 명령

certrldb 하위 명령은 CRL(인증서 해지 목록) 데이터베이스인 /etc/inet/ike/crls를 관리합니다. CRL 데이터베이스는 공개 키에 대한 해지 목록을 유지 관리합니다. 이 목록에는 더 이상 유효하지 않은 인증서가 있습니다. PKI에서 CRL을 제공할 때 ikecert certrldb 명령을 사용하여 CRL 데이터베이스에 CRL을 설치할 수 있습니다. 절차는 인증서 해지 목록 처리 방법을 참조하십시오.

`/etc/inet/ike/publickeys` 디렉토리

/etc/inet/ike/publickeys 디렉토리는 공개-개인 키 쌍의 공개 부분과 해당 인증서를 파일이나 슬롯에 넣습니다. 디렉토리는 0755에서 보호됩니다. ikecert certdb 명령은 디렉토리를 채웁니다. -T 옵션은 publickeys 디렉토리가 아닌 Sun Crypto Accelerator 6000 보드에 키를 저장합니다.

슬롯은 다른 시스템에서 생성된 인증서의 X.509 식별 이름을 인코딩된 형태로 포함합니다. 자체 서명된 인증서를 사용하는 경우 원격 시스템의 관리자로부터 받은 인증서를 명령의 입력으로 사용합니다. CA의 인증서를 사용하는 경우 CA에서 서명한 두 인증서를 이 데이터베이스로 설치합니다. CA로 보낸 인증서 서명 요청에 준하는 인증서를 설치합니다. 또한 CA의 인증서를 설치합니다.

`/etc/inet/secret/ike.privatekeys` 디렉토리

/etc/inet/secret/ike.privatekeys 디렉토리는 공개-개인 키 쌍의 일부인 개인 키 파일을 보유합니다. 디렉토리는 0700에서 보호됩니다. ikecert certlocal 명령은 ike.privatekeys 디렉토리를 채웁니다. 대응하는 공개 키, 자체 서명된 인증서 또는 CA를 설치할 때까지 개인 키는 효과가 없습니다. 대응하는 공개 키는 /etc/inet/ike/publickeys 디렉토리 또는 지원되는 하드웨어에 저장됩니다.

`/etc/inet/ike/crls` 디렉토리

/etc/inet/ike/crls 디렉토리는 CRL(인증서 해지 목록) 파일을 포함합니다. 각 파일은 /etc/inet/ike/publickeys 디렉토리의 공개 인증서 파일에 해당합니다. PKI 조직은 해당 인증서에 대한 CRL을 제공합니다. ikecert certrldb 명령을 사용하여 데이터베이스를 채울 수 있습니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 관리: IP 서비스 Oracle Solaris 11 Information Library (한국어)