Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Création et utilisation d'un keystore pour les certificats de clés publiques IKEv2

Vous devez créer un keystore si vous prévoyez d'utiliser des certificats publics avec IKEv2. Pour utiliser le keystore, vous devez vous connecter à. Lorsque le démon in.ikev2d démarre, le code PIN lui est fourni par vous ou par un processus automatique. Si la sécurité du site permet à la connexion automatique, vous devez le configurer. La valeur par défaut est un keystore se connecter et utiliser l'interactif.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Déterminez le code PIN pour le keystore IKEv2.

    Utilisez la commande ikev2cert setpin pour créer le keystore IKEv2 . Cette commande définit ikeuser comme propriétaire du keystore PKCS #11.

    Ne laissez pas d'espaces dans le code PIN. Par exemple, la valeur WhatShouldIWrite est valide, mais la valeur "What Should" ne l'est pas.

    %  pfbash
    # /usr/sbin/ikev2cert setpin
    Enter token passphrase: changeme
    Create new passphrase: Type strong passphrase
    Re-enter new passphrase: xxxxxxxx
    Passphrase changed.

    Caution

    Mise en garde  -  Stockez cette phrase secrète dans un emplacement sûr. Elle est nécessaire pour utiliser le keystore.


  2. Connectez-vous au keystore automatiquement ou de façon interactive.

    La connexion automatique est recommandée. Si la stratégie de sécurité du site n'autorise pas la connexion automatique, vous devez vous connecter au keystore de manière interactive au redémarrage du démon in.ikev2d.

    • Configurez le keystore pour permettre la connexion automatique.
      1. Ajoutez le code PIN comme valeur de la propriété de service pkcs11_softtoken/pin.
        # svccfg -s ike:ikev2 editprop

        Fenêtre d'édition de temporaire s'ouvre.

      2. Supprimez les marques de commentaire de la ligne setprop pkcs11_token/pin =.
        # setprop pkcs11_token/pin = astring: () Original entry
        setprop pkcs11_token/pin = astring: () Uncommented entry
      3. Remplacez les parenthèses par le code PIN de l'Step 1.
        setprop pkcs11_token/pin = astring: PIN-from-Step-1

        Laissez un espace entre le caractère deux-points et le PIN.

      4. Supprimez les marques de commentaire de la ligne refresh à la fin du fichier, puis enregistrez les modifications.
        # refresh
        refresh
      5. (Facultatif) Vérifiez la valeur de la propriété pkcs11_token/pin.

        La propriété pkcs11_token/pin contient la valeur qui sera vérifiée lors de l'accès au keystore appartenant à ikeuser.

        # svccfg -s ike:ikev2 listprop pkcs11_token/pin
        pkcs11_token/pin     astring  PIN
    • Keystore de connexion dans ce n'est pas configuré, connectez-vous au keystore manuellement.

      Exécutez cette commande chaque fois que le démon in.ikev2d démarre.

      # pfbash
      # ikeadm -v2 token login "Sun Metaslot"
      Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1
      ikeadm: PKCS#11 operation successful
  3. (Facultatif) Vérifiez si un code PIN a bien été défini dans le keystore.
    # ikev2cert tokens
    Flags: L=Login required  I=Initialized  X=User PIN expired  S=SO PIN expired
    Slot ID     Slot Name                   Token Name                        Flags 
    -------     ---------                   ----------                        ----- 
    1           Sun Crypto Softtoken        Sun Software PKCS#11 softtoken    LI    

    La valeur LI dans la colonne Flags indique que le code PIN a été défini.

  4. Pour vous déconnecter manuellement de pkcs11_softtoken, utilisez la commande ikeadm.
    # ikeadm -v2 token logout "Sun Metaslot"
    ikeadm: PKCS#11 operation successful

    Vous pouvez vous déconnecter pour limiter la communication entre deux sites pour une période précise donnée. En vous déconnectant, la clé privée n'est plus disponible. Aucune nouvelle session IKEv2 ne peut être démarrée. La session IKEv2 en cours se poursuit, à moins que vous supprimiez les clés de session à l'aide de la commande ikeadm delete ikesa. Les règles de clé prépartagée continuent de fonctionner. Reportez-vous à la page de manuel ikeadm(1M).