Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Génération et stockage de certificats de clés publiques pour IKEv2 dans le matériel

Les certificats de clés publiques peuvent également être stockés sur le matériel connecté. La carte Sun Crypto Accelerator 6000 permet de stocker et de décharger les opérations de clés publiques du système.

Le processus de génération et de stockage de certificats de clés publiques sur du matériel est similaire au processus de génération et de stockage de certificats de clés publiques sur un système. Sur le matériel, la commande ikev2cert gencert token=hw-keystore est utilisée pour identifier le keystore matériel.

Avant de commencer

Cette procédure suppose que la carte Sun Crypto Accelerator 6000 est connectée au système. Elle suppose aussi que le ou les logiciels correspondants ont été installés et que le keystore matériel est configuré. Pour obtenir des instructions, reportez-vous à la documentation de la carte Sun Crypto Accelerator 6000 dans la bibliothèque de produits. Ces instructions comprennent la définition du keystore.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Confirmez que vous avez un ID de jeton pour la carte Sun Crypto Accelerator 6000 connectée.
    # pfbash
    # ikev2cert tokens
    
    Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired
    Slot ID  Slot Name                         Token Name                        Flags
    -------  ---------                         ----------                        -----
    1        sca6000                           sca6000                           LI
    2        n2cp/0 Crypto Accel Bulk 1.0      n2cp/0 Crypto Accel Bulk 1.0
    3        ncp/0 Crypto Accel Asym 1.0       ncp/0 Crypto Accel Asym 1.0
    4        n2rng/0 SUNW_N2_Random_Number_Ge  n2rng/0 SUNW_N2_RNG
    5        Sun Crypto Softtoken              Sun Software PKCS#11 softtoken    LI
  2. Générez un certificat autosigné ou une CSR et spécifiez l'ID de jeton.

    Remarque -  Pour RSA, la carte Sun Crypto Accelerator 6000 prend en charge des clés d'une longueur maximum de 2 048 bits. Pour DSA, la longueur maximum des clés est de 1 024 bits.

    Procédez de l'une des manières suivantes :

    • Pour un certificat autosigné, utilisez la syntaxe suivante :
      # ikev2cert gencert token=sca6000 keytype=rsa \
      hash=sha256 keylen=2048 \
      subject="CN=FortKnox, C=US" serial=0x6278281232 label=goldrepo
      Enter PIN for sca6000: See Step 3
    • Pour une demande de signature de certificat, utilisez la syntaxe suivante :
      # ikev2cert gencsr token=sca6000 -i
      > keytype=
      > hash=
      > keylen=
      > subject=
      > serial=
      > label=
      > outcsr=
      Enter PIN for sca6000 token: See Step 3

    Pour obtenir une description des arguments de la commande ikev2cert, reportez-vous à la page de manuel pktool(1).

  3. Lorsque vous êtes invité à saisir le PIN, entrez le nom de l'utilisateur de la carte Sun Crypto Accelerator 6000 suivi de deux-points et du mot de passe de l'utilisateur.

    Remarque -  Vous devez connaître le nom d'utilisateur et le mot de passe du keystore.

    Si la carte Sun Crypto Accelerator 6000 est configurée avec un utilisateur admin dont le mot de passe est inThe%4ov, tapez ce qui suit :

    Enter PIN for sca6000 token: admin:inThe%4ov
    -----BEGIN X509 CERTIFICATE-----
    MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu
    …
    oKUDBbZ9O/pLWYGr
    -----END X509 CERTIFICATE-----
  4. Envoyez votre certificat aux personnes concernées.

    Procédez de l'une des manières suivantes :

    • Envoyez le certificat autosigné au système distant.

      Vous pouvez le coller dans un e-mail.

    • Envoyez la demande de signature de certificat à la CA.

      Faire, suivez les instructions du CSR pour soumettre la CA. Pour plus d'informations, reportez-vous à Utilisation de certificats de clés publiques dans IKE.

  5. Importez les certificats dans le keystore matériel.

    Importez les certificats reçus depuis l'AC et fournissez l'utilisateur et le code PIN de l'Step 5.

    # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CERT1
    Enter PIN for sca6000 token: Type user:password
    # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CA.CERT
    Enter PIN for sca6000 token: Type user:password
  6. Activer le keystore à être utilisé de manière automatique matériel ou de façon interactive.

    La connexion automatique est recommandée. Si la stratégie de sécurité du site n'autorise pas la connexion automatique, vous devez vous connecter au keystore de manière interactive au redémarrage du démon in.ikev2d.

    • Keystore configurer la connexion automatique à l'.
      1. Ajoutez le PIN comme valeur de la propriété de service pkcs11_token/uri.

        Pour obtenir une description de cette propriété, reportez-vous à Service d'IKEv2.

        # svccfg -s ike:ikev2 editprop

        Fenêtre d'édition de temporaire s'ouvre.

      2. Décommentez la ligne setprop pkcs11_token/uri = et remplacez les parenthèses par le nom du jeton au format suivant :
        # setprop pkcs11_token/uri = () Original entry
        setprop pkcs11_token/uri = pkcs11:token=sca6000
      3. Décommentez la ligne setprop pkcs11_token/uri = et remplacez les parenthèses par le username:PIN de l'Step 5.
        # setprop pkcs11_token/uri = () Original entry
        setprop pkcs11_token/uri = admin:PIN-from-Step-3
      4. Décommentez la ligne refresh à la fin du fichier, puis enregistrez les modifications.
        # refresh
        refresh
      5. (Facultatif) Vérifiez la valeur des propriétés de pkcs11_token.
        # svccfg -s ikev2 listprop pkcs11_token
        pkcs11_token/pin     astring  username:PIN
        pkcs11_token/uri     astring  pkcs11:token=sca6000
    • Si la connexion automatique n'est pas configuré, connectez-vous à plus d'informations sur la configuration matérielle keystore manuellement.

      Exécutez cette commande chaque fois que le démon in.ikev2d démarre.

      # pfexec ikeadm -v2 token login sca6000
      Enter PIN for sca6000 token: admin:PIN-from-Step-3
      ikeadm: sca6000 operation successful

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.