Ignorer les liens de navigation | |
Quitter l'aperu | |
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
6. Architecture IPsec (présentation)
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
10. Configuration du protocole IKE (tâches)
Affichage des informations IKE
Affichage des groupes et algorithmes disponibles pour les échanges IKE de la phase 1
Configuration du protocole IKE (liste des tâches)
Configuration du protocole IKE avec des clés prépartagées (liste des tâches)
Configuration du protocole IKE avec des clés prépartagées
Configuration du protocole IKE avec des clés prépartagées
Configuration d'IKE pour un nouveau système homologue
Configuration du protocole IKE avec des certificats de clés publiques (liste des tâches)
Configuration du protocole IKE avec des certificats de clés publiques
Configuration du protocole IKE avec des certificats de clés publiques autosignés
Configuration du protocole IKE avec des certificats signés par une CA
Génération et stockage de certificats de clés publiques dans le matériel
Traitement des listes des certificats révoqués
Configuration du protocole IKE pour les systèmes portables (liste des tâches)
Configuration du protocole IKE pour les systèmes portables
Les certificats de clés publiques peuvent également être stockés sur du matériel connecté. La carte Sun Crypto Accelerator 6000 permet de stocker et de décharger les opérations de clés publiques du système.
Avant de commencer
La procédure suivante suppose que la carte Sun Crypto Accelerator 6000 est connectée au système. et que le ou les logiciels correspondants ont été installés et configurés. Pour obtenir des instructions, reportez-vous au manuel Sun Crypto Accelerator 6000 Board Version 1.1 User's Guide.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Pour un exemple, reportez-vous à l'Exemple 7-1.
IKE utilise les routines de la bibliothèque pour gérer la génération des clés et leur stockage sur la carte Sun Crypto Accelerator 6000. Entrez la commande suivante pour déterminer si une bibliothèque PKCS #11 a été liée :
$ ikeadm get stats … PKCS#11 library linked in from /usr/lib/libpkcs11.so $
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
La bibliothèque renvoie un ID de jeton, également appelé nom du keystore, de 32 caractères. Dans l'exemple ci-dessous, vous pouvez utiliser le jeton Sun Metaslot avec la commande ikecert pour stocker et accélérer les clés IKE.
Pour plus d'informations sur l'utilisation du jeton, reportez-vous à la section Génération et stockage de certificats de clés publiques dans le matériel.
Les espaces situés à la fin sont automatiquement remplis par la commande ikecert.
Exemple 10-8 Découverte et utilisation de jetons metaslot
Les jetons peuvent être stockés sur le disque, sur une carte connectée ou dans le keystore softtoken fourni par la structure cryptographique. L'ID de jeton du keystore de softtoken peut se présenter comme suit :
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
Pour créer une phrase de passe pour un keystore de softtoken, reportez-vous à la page de manuel pktool(1).
La commande ci-dessous permet d'ajouter un certificat au keystore de softtoken. Sun.Metaslot.cert est le fichier contenant le certificat CA.
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
Étapes suivantes
Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec.