跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 10 1/13 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
如何为 ipsecinit.conf 中的新策略项添加 IKE 预先共享密钥
25. Oracle Solaris 中的 IP 过滤器(概述)
公钥证书也可以存储在连接的硬件上。Sun Crypto Accelerator 1000 板仅提供存储。Sun Crypto Accelerator 4000 和 Sun Crypto Accelerator 6000 板提供存储空间,并允许将公钥操作从系统转移到板上。
开始之前
以下过程假定 Sun Crypto Accelerator 1000 板已连接到系统。此过程还假定已安装板的软件,而且已配置该软件。有关说明,请参见《Sun Crypto Accelerator 1000 Board Version 2.0 Installation and User's Guide》(《Sun Crypto Accelerator 1000 板 2.0 版安装和用户指南》)。
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。有关如何创建该角色并将其指定给用户,请参见《Oracle Solaris 管理:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
注 - 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录,系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。
键入以下命令,以确定 PKCS #11 库是否已链接:
# ikeadm get stats Phase 1 SA counts: Current: initiator: 0 responder: 0 Total: initiator: 0 responder: 0 Attempted: initiator: 0 responder: 0 Failed: initiator: 0 responder: 0 initiator fails include 0 time-out(s) PKCS#11 library linked in from /usr/lib/libpkcs11.so #
有关加密框架提供的密钥库的信息,请参见 cryptoadm(1M) 手册页。有关使用密钥库的示例,请参见Example 23–11。
开始之前
以下过程假定 Sun Crypto Accelerator 4000 板已连接到系统。此过程还假定已安装板的软件,而且已配置该软件。有关说明,请参见《Sun Crypto Accelerator 4000 Board Version 1.1 Installation and User's Guide》(《Sun Crypto Accelerator 4000 板 1.1 版安装和用户指南》)。
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。有关如何创建该角色并将其指定给用户,请参见《Oracle Solaris 管理:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
注 - 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录,系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。
IKE 使用该库的例程在 Sun Crypto Accelerator 4000 板上处理密钥生成和密钥存储。键入以下命令,以确定 PKCS #11 库是否已链接:
$ ikeadm get stats … PKCS#11 library linked in from /usr/lib/libpkcs11.so $
注 - 对于 RSA,Sun Crypto Accelerator 4000 板最多支持 2048 位的密钥。对于 DSA,此板最多支持 1024 位的密钥。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
该库返回一个包含 32 个字符的标记 ID(也称为 keystore name(密钥库名称))。在此示例中,可以将 Sun Metaslot 标记与 ikecert 命令一起使用来存储和加速 IKE 密钥。
有关如何使用标记的说明,请参见如何在硬件中生成和存储公钥证书。
结尾空格是由 ikecert 命令自动填充的。
示例 23-11 查找和使用 metaslot 标记
标记可以存储在磁盘上、连接的板上或加密框架提供的 softtoken 密钥库中。softtoken 密钥库标记 ID 可能与以下信息类似。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
有关如何为 softtoken 密钥库创建口令短语,请参见 pktool(1) 手册页。
如下所示的命令可向 softtoken 密钥库添加证书。Sun.Metaslot.cert 是一个包含 CA 证书的文件。
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase
开始之前
以下过程假定 Sun Crypto Accelerator 6000 板已连接到系统。此过程还假定已安装板的软件,而且已配置该软件。有关说明,请参见《Sun Crypto Accelerator 6000 Board Version 1.1 User's Guide》(《Sun Crypto Accelerator 6000 板 1.1 版用户指南》)。
Primary Administrator(主管理员)角色拥有 Primary Administrator(主管理员)配置文件。有关如何创建该角色并将其指定给用户,请参见《Oracle Solaris 管理:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
注 - 远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录,系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。
IKE 使用该库的例程在 Sun Crypto Accelerator 6000 板上处理密钥生成和密钥存储。键入以下命令,以确定 PKCS #11 库是否已链接:
$ ikeadm get stats … PKCS#11 library linked in from /usr/lib/libpkcs11.so $
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
该库返回一个包含 32 个字符的标记 ID(也称为 keystore name(密钥库名称))。在此示例中,可以将 Sun Metaslot 标记与 ikecert 命令一起使用来存储和加速 IKE 密钥。
有关如何使用标记的说明,请参见如何在硬件中生成和存储公钥证书。
结尾空格是由 ikecert 命令自动填充的。
示例 23-12 查找和使用 metaslot 标记
标记可以存储在磁盘上、连接的板上或加密框架提供的 softtoken 密钥库中。softtoken 密钥库标记 ID 可能与以下信息类似。
$ ikecert tokens Available tokens with library "/usr/lib/libpkcs11.so": "Sun Metaslot "
有关如何为 softtoken 密钥库创建口令短语,请参见 pktool(1) 手册页。
如下所示的命令可向 softtoken 密钥库添加证书。Sun.Metaslot.cert 是一个包含 CA 证书的文件。
# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert Enter PIN for PKCS#11 token: Type user:passphrase