跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 11 Information Library (简体中文) |
20. Oracle Solaris 中的 IP 过滤器(概述)
ikecert 命令处理本地系统的公钥数据库。在 ike/config 文件需要公钥证书时,可以使用此命令。由于 IKE 使用这些数据库验证阶段 1 交换,因此必须在激活 in.iked 守护进程之前填充这些数据库。以下三个子命令可分别处理三种数据库中的其中一种: certlocal、certdb 和 certrldb。
ikecert 命令还处理密钥存储。密钥可以存储在磁盘上、连接的 Sun Crypto Accelerator 6000 板上或 softtoken 密钥库中。当加密框架中的 metaslot 用于和硬件设备进行通信时,softtoken 密钥库是可用的。ikecert 命令使用 PKCS #11 库定位密钥存储。
有关更多信息,请参见 ikecert(1M) 手册页。有关 metaslot 以及 softtoken 密钥库的信息,请参见 cryptoadm(1M) 手册页。
tokens 参数列出可用的标记 ID。使用标记 ID,ikecert certlocal 和 ikecert certdb 命令可以生成公钥证书和证书请求。证书和证书请求也可以由加密框架存储在 softtoken 密钥库中或存储在连接的 Sun Crypto Accelerator 6000 板上。ikecert 命令使用 PKCS #11 库定位证书存储。
certlocal 子命令管理私钥数据库。使用此子命令的选项,可以添加、查看和删除私钥。此子命令还用于创建自签名的证书或证书请求。-ks 选项用于创建自签名的证书。-kc 选项用于创建证书请求。密钥存储在系统的 /etc/inet/secret/ike.privatekeys 目录中,或者通过 -T 选项存储在连接的硬件上。
创建私钥时,ikecert certlocal 命令的选项必须在 ike/config 文件中具有相关项。ikecert 选项和 ike/config 项之间的对应关系如下表所示。
表 19-1 ikecert 选项和 ike/config 项之间的对应关系
|
如果使用 ikecert certlocal -kc 命令发出证书请求,则会将该命令的输出发送到 PKI 组织或证书颁发机构 (certificate authority, CA)。如果您的公司运行自己的 PKI,则会将输出发送到 PKI 管理员。然后,PKI 组织、CA 或 PKI 管理员将创建证书。PKI 或 CA 返回给您的证书是 certdb 子命令的输入。PKI 返回给您的证书撤销列表 (certificate revocation list, CRL) 是 certrldb 子命令的输入。
certdb 子命令管理公钥数据库。使用此子命令的选项,可以添加、查看以及删除证书和公钥。该命令将 ikecert certlocal -ks 命令在远程系统上生成的证书作为输入接受。有关过程,请参见如何使用自签名的公钥证书配置 IKE。此命令还将您从 PKI 或 CA 接收的证书接受为输入。有关过程,请参见如何使用 CA 签名的证书配置 IKE。
证书和公钥存储在系统的 /etc/inet/ike/publickeys 目录中。-T 选项在连接的硬件上存储证书、私钥和公钥。
certrldb 子命令管理证书撤销列表 (certificate revocation list, CRL) 数据库 /etc/inet/ike/crls。CRL 数据库维护公钥的撤销列表。不再有效的证书包含在此列表中。当 PKI 为您提供 CRL 时,您可以使用 ikecert certrldb 命令在 CRL 数据库中安装 CRL。有关过程,请参见如何处理证书撤销列表。
/etc/inet/ike/publickeys 目录将公钥/私钥对的公钥部分及其证书包含在文件或插槽中。按 0755 保护该目录。ikecert certdb 命令填充该目录。-T 选项将密钥存储在 Sun Crypto Accelerator 6000 板上,而不是存储在 publickeys 目录中。
插槽以编码形式包含在其他系统上生成的证书的 X.509 标识名。如果使用自签名的证书,则将从远程系统管理员处接收的证书用作该命令的输入。如果使用来自 CA 的证书,则将两个签名证书从 CA 安装到此数据库中。将安装一个基于发送到 CA 的证书签名请求的证书。也安装 CA 的证书。
/etc/inet/secret/ike.privatekeys 目录中存储属于公钥/私钥对一部分的私钥文件。按 0700 保护该目录。ikecert certlocal 命令填充 ike.privatekeys 目录。在安装其对应公钥、自签名的证书或 CA 后,私钥才生效。对应公钥存储在 /etc/inet/ike/publickeys 目录中,或存储在支持的硬件上。
/etc/inet/ike/crls 目录包含证书撤销列表 (certificate revocation list, CRL) 文件。每个文件都对应于 /etc/inet/ike/publickeys 目录中的公共证书文件。PKI 组织为其证书提供 CRL。可以使用 ikecert certrldb 命令填充数据库。