Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Initialisation du keystore en vue du stockage de certificats de clés publiques pour IKEv2

Pour utiliser des certificats publics avec IKEv2, vous devez créer un keystore PKCS #11. Le keystore le plus fréquemment utilisé emploie pkcs11_softtoken, fourni par la Structure cryptographique d'Oracle Solaris.

Le keystore pkcs11_softtoken pour IKEv2 se trouve dans un répertoire dont le propriétaire est un utilisateur spécial, ikeuser. Le répertoire par défaut est /var/user/ikeuser. L'ID utilisateur ikeuser est fourni avec le système, mais vous devez créer le keystore. Lorsque vous créez le PIN, vous créez un keystore pour le keystore. Le service IKEv2 a besoin de ce PIN pour se connecter au keystore.

Le keystore pkcs11_softtoken contient les clés privées et publiques et les certificats publics utilisés par IKEv2. Ces clés et les certificats sont gérés à l'aide de la commande ikev2cert, qui est un wrapper pour la commande pktool. Le wrapper assure que toutes les clés et opérations de certificats sont appliquées au keystore pkcs11_softtoken appartenant à ikeuser.

Si vous n'avez pas ajouté le code PIN en tant que valeur de propriété du service ikev2, le message suivant s'affiche dans le fichier /var/log/ikev2/in.ikev2d.log :

date: (n)  No PKCS#11 token "pin" property defined 
for the smf(5) service: ike:ikev2

Si vous n'utilisez pas les certificats de clés publiques, vous pouvez ignorer ce message.