Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Configuration du protocole IKEv1 en vue de l'utilisation d'une carte Sun Crypto Accelerator 6000

Avant de commencer

La procédure suivante suppose que la carte Sun Crypto Accelerator 6000 est connectée au système. et que le ou les logiciels correspondants ont été installés et configurés. Pour obtenir des instructions, reportez-vous à la documentation de la carte Sun Crypto Accelerator 6000 dans la bibliothèque de produits.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Vérifiez que la bibliothèque PKCS #11 est liée.

    IKEv1 utilise les routines de la bibliothèque pour gérer la génération des clés et leur stockage sur la carte Sun Crypto Accelerator 6000.

    $ ikeadm get stats
    …
    PKCS#11 library linked in from /usr/lib/libpkcs11.so
    $
  2. Trouvez l'ID de jeton pour la carte Sun Crypto Accelerator 6000 connectée.
    $ ikecert tokens
    Available tokens with library "/usr/lib/libpkcs11.so":
    
    "Sun Metaslot                     "

    La bibliothèque renvoie un ID de jeton, également appelé nom du keystore, de 32 caractères. Dans l'exemple ci-dessous, vous pouvez utiliser le jeton Sun Metaslot avec la commande ikecert pour stocker et accélérer les clés IKEv1.

    Pour plus d'informations sur l'utilisation du jeton, reportez-vous à la section Génération et stockage de certificats de clés publiques pour IKEv1 dans le matériel.

    Les espaces situés à la fin sont automatiquement remplis par la commande ikecert.

Exemple 10-8  Découverte et utilisation de jetons metaslot

Les jetons peuvent être stockés sur le disque, sur une carte connectée ou dans le keystore softtoken fourni par la structure cryptographique. L'ID de jeton du keystore de softtoken peut se présenter comme suit :

$ ikecert tokens
Available tokens with library "/usr/lib/libpkcs11.so":

"Sun Metaslot                   "

Pour créer une phrase de passe pour un keystore de softtoken, reportez-vous à la page de manuel pktool(1).

La commande ci-dessous permet d'ajouter un certificat au keystore de softtoken. Sun.Metaslot.cert est le fichier contenant le certificat CA.

# ikecert certdb -a -T "Sun Metaslot" < Sun.Metaslot.cert
Enter PIN for PKCS#11 token: Type user:passphrase

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.