Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Configuration du protocole IKEv2 avec des certificats signés par une AC

Les organisations qui protéger un grand nombre de systèmes communicants utilisent généralement les certificats publics émanant d'une autorité de certification (CA). Pour plus d'informations, reportez-vous à la section IKE avec certificats de clés publiques.

Vous effectuez cette procédure sur tous les certificats IKE à partir d'un systèmes CA qui utilisent.

Avant de commencer

Pour utiliser les certificats, vous devez avoir effectué la Création et utilisation d'un keystore pour les certificats de clés publiques IKEv2.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Passez à un répertoire accessible en écriture.

    Le message d'erreur suivant peut indiquer que le fichier CSR ne peut pas être écrit sur le disque :

    Warning: error accessing "CSR-file"

    Par exemple, utilisez le répertoire /tmp.

    # cd /tmp
  2. Créez une demande de signature de certificat.

    Vous utilisez la commande ikev2cert gencsr pour créer une demande de signature de certificat (CSR, Certificate Signing Request). Pour obtenir une description des arguments de la commande, vérifiez la sous-commande pktool gencsr keystore=pkcs11 à la page de manuel pktool(1) man page.

    Par exemple, la commande suivante crée un fichier qui contient les CSR du système partym :

    # pfbash
    # /usr/sbin/ikev2cert gencsr \
    keytype=rsa
    keylen=2048
    label=Partym1 \
    outcsr=/tmp/Partymcsr1 \
    subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym"
    Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx
  3. (Facultatif) Tout d'abord copier le contenu du CA CSR de et le coller dans le formulaire Web.
    # cat /tmp/Partymcsr1
    -----BEGIN CERTIFICATE REQUEST-----
    MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu
    eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi
    MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb
    WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA
    jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH
    bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q
    3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH
    nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB
    AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1
    GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt
    kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB
    JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB
    Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO
    E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw
    -----END CERTIFICATE REQUEST-----
    
  4. Soumettez le CSR à une autorité de certification (AC).

    L'AC peut vous indiquer comment soumettre la CSR. Dans la plupart des cas, celle-ci s'effectue en remplissant un formulaire directement sur le site Web du fournisseur. Dans ce formulaire, vous devrez notamment indiquer la preuve de la légitimité de votre demande. Il suffit généralement de coller votre CSR dans le formulaire.


    Conseil  -  L'accès à certains formulaires comptent par défaut un bouton Avancé dans laquelle vous pouvez coller votre certificat. La CSR PKCS # 10 est générée dans format. Par conséquent, trouver la portion du Web PKCS # 10 format pris en charge par les mentions.
  5. Importez tous les certificats reçus depuis l'AC dans votre keystore.

    ikev2cert import importe le certificat dans le keystore.

    1. Importez la clé publique et le certificat que vous avez reçus de la part de l'autorité de certification.
      # ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert

      Conseil  -  Pour faciliter l'administration, assignez au certificat importé la même étiquette que celle de la CSR initiale.
    2. A partir de l'importer le certificat CA root.
      # ikev2cert import objtype=cert infile=/tmp/Partym1CAcert
    3. Les certificats intermédiaires d'importation dans le keystore CA.

      Conseil  -  Pour les tâches d'administration plus de commodité, affecter la même étiquette à des certificats intermédiaires importés en tant que libellé de la feuille de calcul d'origine CSR.

      A envoyé si le CA des fichiers distincts pour chaque intermédiaire, puis les importer en tant qu'certificat vous avez importé le ci-dessus des certificats. Toutefois, si l'autorité de certification fournit sa chaîne de certificat en tant que fichier PKCS#7, vous devez extraire les certificats individuels du fichier, puis importer chaque certificat de la même manière que vous aviez importé les certificats précédents :


      Remarque -  Vous devez prendre le rôle root pour exécuter la commande openssl. Reportez-vous à la page de manuel openssl(5).
      # openssl pkcs7 -in pkcs7-file -print_certs
      # ikev2cert import objtype=cert label=Partym1 infile=individual-cert
  6. Définissez la stratégie de validation du certificat.

    Si le certificat contient des sections pour les CRL ou OCSP, vous devez configurer la stratégie de validation du certificat en fonction des exigences de votre site. Pour obtenir des instructions, reportez-vous à la section Définition d'une stratégie de validation de certificats dans IKEv2

  7. Une fois que vous avez terminé la procédure sur tous les systèmes utilisant votre certificat IKE, activez le service ikev2 sur tous les systèmes.

    Les systèmes homologues ont besoin du certificat ancre sécurisée et d'un fichier ikev2.config configuré.

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.