跳过导航链接 | |
退出打印视图 | |
![]() |
Oracle Solaris 管理:IP 服务 Oracle Solaris 11 Information Library (简体中文) |
公钥证书也可存储于连接的硬件上。Sun Crypto Accelerator 6000 板提供存储,并允许将公钥操作从系统转移到板上。
开始之前
以下过程假定 Sun Crypto Accelerator 6000 板已连接到系统。此过程还假定已安装板的软件,而且已配置该软件。有关说明,请参见《Sun Crypto Accelerator 6000 Board Version 1.1 User’s Guide 》。
有关更多信息,请参见《Oracle Solaris 管理:安全服务》中的"如何获取管理权限"。如果您以远程方式登录,请使用 ssh 命令实现安全的远程登录。有关示例,请参见示例 15-1。
IKE 使用该库的例程在 Sun Crypto Accelerator 6000 板上处理密钥生成和密钥存储。键入以下命令,以确定 PKCS #11 库是否已链接:
$ ikeadm get stats … PKCS#11 library linked in from /usr/lib/libpkcs11.so $
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
该库返回一个包含 32 个字符的标记 ID(也称为 keystore name(密钥库名称))。在此示例中,可以将 Sun Metaslot 标记与 ikecert 命令一起使用来存储和加速 IKE 密钥。
有关如何使用标记的说明,请参见如何在硬件中生成和存储公钥证书。
结尾空格是由 ikecert 命令自动填充的。
示例 18-8 查找和使用 metaslot 标记
标记可以存储在磁盘上、连接的板上或加密框架提供的 softtoken 密钥库中。softtoken 密钥库标记 ID 可能与以下信息类似。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
有关如何为 softtoken 密钥库创建口令短语,请参见 pktool(1) 手册页。
如下所示的命令可向 softtoken 密钥库添加证书。Sun.Metaslot.cert 是一个包含 CA 证书的文件。
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
接下来的步骤
如果建立 IPsec 策略未完成,请返回到 IPsec 过程以启用或刷新 IPsec 策略。