Vous devez créer un keystore si vous prévoyez d'utiliser des certificats publics avec IKEv2. Pour utiliser le keystore, vous devez vous connecter à. Lorsque le démon in.ikev2d démarre, le code PIN lui est fourni par vous ou par un processus automatique. Si la sécurité du site permet à la connexion automatique, vous devez le configurer. La valeur par défaut est un keystore se connecter et utiliser l'interactif.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Utilisez la commande ikev2cert setpin pour créer le keystore IKEv2 . Cette commande définit ikeuser comme propriétaire du keystore PKCS #11.
Ne laissez pas d'espaces dans le code PIN. Par exemple, la valeur WhatShouldIWrite est valide, mais la valeur "What Should" ne l'est pas.
% pfbash # /usr/sbin/ikev2cert setpin Enter token passphrase: changeme Create new passphrase: Type strong passphrase Re-enter new passphrase: xxxxxxxx Passphrase changed.
![]() | Mise en garde - Stockez cette phrase secrète dans un emplacement sûr. Elle est nécessaire pour utiliser le keystore. |
La connexion automatique est recommandée. Si la stratégie de sécurité du site n'autorise pas la connexion automatique, vous devez vous connecter au keystore de manière interactive au redémarrage du démon in.ikev2d.
# svccfg -s ike:ikev2 editprop
Fenêtre d'édition de temporaire s'ouvre.
# setprop pkcs11_token/pin = astring: () Original entry setprop pkcs11_token/pin = astring: () Uncommented entry
setprop pkcs11_token/pin = astring: PIN-from-Step-1
Laissez un espace entre le caractère deux-points et le PIN.
# refresh refresh
La propriété pkcs11_token/pin contient la valeur qui sera vérifiée lors de l'accès au keystore appartenant à ikeuser.
# svccfg -s ike:ikev2 listprop pkcs11_token/pin pkcs11_token/pin astring PIN
Exécutez cette commande chaque fois que le démon in.ikev2d démarre.
# pfbash # ikeadm -v2 token login "Sun Metaslot" Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1 ikeadm: PKCS#11 operation successful
# ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
La valeur LI dans la colonne Flags indique que le code PIN a été défini.
# ikeadm -v2 token logout "Sun Metaslot" ikeadm: PKCS#11 operation successful
Vous pouvez vous déconnecter pour limiter la communication entre deux sites pour une période précise donnée. En vous déconnectant, la clé privée n'est plus disponible. Aucune nouvelle session IKEv2 ne peut être démarrée. La session IKEv2 en cours se poursuit, à moins que vous supprimiez les clés de session à l'aide de la commande ikeadm delete ikesa. Les règles de clé prépartagée continuent de fonctionner. Reportez-vous à la page de manuel ikeadm(1M).