Les certificats de clés publiques peuvent également être stockés sur le matériel connecté. La carte Sun Crypto Accelerator 6000 permet de stocker et de décharger les opérations de clés publiques du système.
Le processus de génération et de stockage de certificats de clés publiques sur du matériel est similaire au processus de génération et de stockage de certificats de clés publiques sur un système. Sur le matériel, la commande ikev2cert gencert token=hw-keystore est utilisée pour identifier le keystore matériel.
Avant de commencer
Cette procédure suppose que la carte Sun Crypto Accelerator 6000 est connectée au système. Elle suppose aussi que le ou les logiciels correspondants ont été installés et que le keystore matériel est configuré. Pour obtenir des instructions, reportez-vous à la documentation de la carte Sun Crypto Accelerator 6000 dans la bibliothèque de produits. Ces instructions comprennent la définition du keystore.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.
# pfbash # ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 sca6000 sca6000 LI 2 n2cp/0 Crypto Accel Bulk 1.0 n2cp/0 Crypto Accel Bulk 1.0 3 ncp/0 Crypto Accel Asym 1.0 ncp/0 Crypto Accel Asym 1.0 4 n2rng/0 SUNW_N2_Random_Number_Ge n2rng/0 SUNW_N2_RNG 5 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
Procédez de l'une des manières suivantes :
# ikev2cert gencert token=sca6000 keytype=rsa \ hash=sha256 keylen=2048 \ subject="CN=FortKnox, C=US" serial=0x6278281232 label=goldrepo Enter PIN for sca6000: See Step 3
# ikev2cert gencsr token=sca6000 -i > keytype= > hash= > keylen= > subject= > serial= > label= > outcsr= Enter PIN for sca6000 token: See Step 3
Pour obtenir une description des arguments de la commande ikev2cert, reportez-vous à la page de manuel pktool(1).
Si la carte Sun Crypto Accelerator 6000 est configurée avec un utilisateur admin dont le mot de passe est inThe%4ov, tapez ce qui suit :
Enter PIN for sca6000 token: admin:inThe%4ov -----BEGIN X509 CERTIFICATE----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu … oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE-----
Procédez de l'une des manières suivantes :
Vous pouvez le coller dans un e-mail.
Faire, suivez les instructions du CSR pour soumettre la CA. Pour plus d'informations, reportez-vous à Utilisation de certificats de clés publiques dans IKE.
Importez les certificats reçus depuis l'AC et fournissez l'utilisateur et le code PIN de l'Step 5.
# ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CERT1 Enter PIN for sca6000 token: Type user:password # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CA.CERT Enter PIN for sca6000 token: Type user:password
La connexion automatique est recommandée. Si la stratégie de sécurité du site n'autorise pas la connexion automatique, vous devez vous connecter au keystore de manière interactive au redémarrage du démon in.ikev2d.
Pour obtenir une description de cette propriété, reportez-vous à Service d'IKEv2.
# svccfg -s ike:ikev2 editprop
Fenêtre d'édition de temporaire s'ouvre.
# setprop pkcs11_token/uri = () Original entry setprop pkcs11_token/uri = pkcs11:token=sca6000
# setprop pkcs11_token/uri = () Original entry setprop pkcs11_token/uri = admin:PIN-from-Step-3
# refresh refresh
# svccfg -s ikev2 listprop pkcs11_token pkcs11_token/pin astring username:PIN pkcs11_token/uri astring pkcs11:token=sca6000
Exécutez cette commande chaque fois que le démon in.ikev2d démarre.
# pfexec ikeadm -v2 token login sca6000 Enter PIN for sca6000 token: admin:PIN-from-Step-3 ikeadm: sca6000 operation successful
Etapes suivantes
Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.