Les organisations qui protéger un grand nombre de systèmes communicants utilisent généralement les certificats publics émanant d'une autorité de certification (CA). Pour plus d'informations, reportez-vous à la section IKE avec certificats de clés publiques.
Vous effectuez cette procédure sur tous les certificats IKE à partir d'un systèmes CA qui utilisent.
Avant de commencer
Pour utiliser les certificats, vous devez avoir effectué la Création et utilisation d'un keystore pour les certificats de clés publiques IKEv2.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.
Le message d'erreur suivant peut indiquer que le fichier CSR ne peut pas être écrit sur le disque :
Warning: error accessing "CSR-file"
Par exemple, utilisez le répertoire /tmp.
# cd /tmp
Vous utilisez la commande ikev2cert gencsr pour créer une demande de signature de certificat (CSR, Certificate Signing Request). Pour obtenir une description des arguments de la commande, vérifiez la sous-commande pktool gencsr keystore=pkcs11 à la page de manuel pktool(1) man page.
Par exemple, la commande suivante crée un fichier qui contient les CSR du système partym :
# pfbash # /usr/sbin/ikev2cert gencsr \ keytype=rsa keylen=2048 label=Partym1 \ outcsr=/tmp/Partymcsr1 \ subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx
# cat /tmp/Partymcsr1 -----BEGIN CERTIFICATE REQUEST----- MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q 3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1 GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw -----END CERTIFICATE REQUEST-----
L'AC peut vous indiquer comment soumettre la CSR. Dans la plupart des cas, celle-ci s'effectue en remplissant un formulaire directement sur le site Web du fournisseur. Dans ce formulaire, vous devrez notamment indiquer la preuve de la légitimité de votre demande. Il suffit généralement de coller votre CSR dans le formulaire.
ikev2cert import importe le certificat dans le keystore.
# ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert
# ikev2cert import objtype=cert infile=/tmp/Partym1CAcert
A envoyé si le CA des fichiers distincts pour chaque intermédiaire, puis les importer en tant qu'certificat vous avez importé le ci-dessus des certificats. Toutefois, si l'autorité de certification fournit sa chaîne de certificat en tant que fichier PKCS#7, vous devez extraire les certificats individuels du fichier, puis importer chaque certificat de la même manière que vous aviez importé les certificats précédents :
# openssl pkcs7 -in pkcs7-file -print_certs # ikev2cert import objtype=cert label=Partym1 infile=individual-cert
Si le certificat contient des sections pour les CRL ou OCSP, vous devez configurer la stratégie de validation du certificat en fonction des exigences de votre site. Pour obtenir des instructions, reportez-vous à la section Définition d'une stratégie de validation de certificats dans IKEv2
Les systèmes homologues ont besoin du certificat ancre sécurisée et d'un fichier ikev2.config configuré.
Etapes suivantes
Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.