Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Génération et stockage de certificats de clés publiques pour IKEv1 dans le matériel

Le processus de génération et de stockage de certificats de clés publiques sur du matériel est similaire au processus de génération et de stockage de certificats de clés publiques sur un système. Dans le premier cas, il convient d'identifier le matériel à l'aide des commandes ikecert certlocal et ikecert certdb, accompagnées de l'option –T et de l'ID de jeton.

Avant de commencer

  • Le matériel doit être configuré.

  • Excepté si le mot-clé pkcs11_path du fichier /etc/inet/ike/config pointe sur une autre bibliothèque, le matériel utilise /usr/lib/libpkcs11.so. Cette bibliothèque doit être implémentée conformément à la norme suivante : RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki), c'est-à-dire une bibliothèque PKCS #11.

    Reportez-vous à Configuration du protocole IKEv1 en vue de l'utilisation d'une carte Sun Crypto Accelerator 6000 pour les instructions de configuration.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Générez un certificat autosigné ou une CSR et spécifiez l'ID de jeton.

    Remarque -  Pour RSA, la carte Sun Crypto Accelerator 6000 prend en charge des clés d'une longueur maximum de 2 048 bits. Pour DSA, la longueur maximum des clés est de 1 024 bits.

    Procédez de l'une des manières suivantes :

    • Pour un certificat autosigné, utilisez la syntaxe suivante :
      # ikecert certlocal -ks -m 2048 -t rsa-sha512 \
      > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
      > -a -T dca0-accel-stor IP=192.168.116.16
      Creating hardware private keys.
      Enter PIN for PKCS#11 token: Type user:password

      L'argument de l'option –T est l'ID de jeton de la carte Sun Crypto Accelerator 6000 connectée.

    • Pour une CSR, utilisez la syntaxe suivante :
      # ikecert certlocal -kc -m 2048 -t rsa-sha512 \
      > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
      > -a -T dca0-accel-stor IP=192.168.116.16
      Creating hardware private keys.
      Enter PIN for PKCS#11 token: Type user:password

    Pour obtenir une description des arguments de la commande ikecert, reportez-vous à la page de manuel ikecert(1M).

  2. Lorsque vous êtes invité à saisir le PIN, entrez le nom de l'utilisateur de la carte Sun Crypto Accelerator 6000 suivi de deux-points et du mot de passe de l'utilisateur.

    Si la carte Sun Crypto Accelerator 6000 possède un utilisateur ikemgr dont le mot de passe est rgm4tigt, entrez :

    Enter PIN for PKCS#11 token: ikemgr:rgm4tigt

    Remarque -  Si vous saisissez les commandes ikecert avec l'option –p, le jeton PKCS #11 est enregistré sur le disque en texte clair et protégé par les permissions root. Si vous ne stockez pas le PIN sur le disque, vous devez déverrouiller le jeton à l'aide de la commande ikeadm une fois la commande in.iked en cours d'exécution.

    Après entrée du mot de passe, le certificat imprime la sortie suivante :

    Enter PIN for PKCS#11 token: ikemgr:rgm4tigt
    -----BEGIN X509 CERTIFICATE-----
    MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu
    …
    oKUDBbZ9O/pLWYGr
    -----END X509 CERTIFICATE-----
  3. Envoyez votre certificat à l'autre partie.

    Procédez de l'une des manières suivantes :

  4. Sur votre système, modifiez le fichier /etc/inet/ike/config pour qu'il reconnaisse les certificats.

    Procédez de l'une des manières suivantes :

    • Certificat autosigné

      Utilisez les valeurs fournies par l'administrateur du système distant pour les paramètres cert_trust, remote_id et remote_addr. Sur le système enigma par exemple, le fichier ike/config se présente comme suit :

      # Explicitly trust the following self-signed certs
      # Use the Subject Alternate Name to identify the cert
      
      cert_trust "192.168.116.16"  Local system's certificate Subject Alt Name
      cert_trust "192.168.13.213"  Remote system's certificate Subject Alt name
      
      …
      {
       label "JA-enigma to US-partym"
       local_id_type dn
       local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
       remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
      
       local_addr  192.168.116.16
       remote_addr 192.168.13.213
      
       p1_xform
        {auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes}
      }
    • Demande de certificat

      Saisissez le nom fourni par l'AC comme valeur du mot-clé cert_root. Par exemple, le fichier ike/config sur le système enigma peut se présenter comme suit :

      # Trusted root cert
      # This certificate is from Example CA
      # This is the X.509 distinguished name for the CA that it issues.
      
      cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example, CN=Example CA"
      
      …
      {
       label "JA-enigma to US-partym - Example CA"
       local_id_type dn
       local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
       remote_id  "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
      
       local_addr  192.168.116.16
       remote_addr 192.168.13.213
      
       p1_xform
        {auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes}
      }
  5. Placez les certificats de l'autre partie sur le matériel.

    Répondez à la demande de PIN comme vous l'avez fait au cours de l'Step 4.


    Remarque -  Vous devez ajouter les certificats de clés publiques au matériel connecté qui a généré votre clé privée.
    • Certificat auto-signé.

      Ajoutez le certificat autosigné du système distant. Dans cet exemple, il est stocké dans le fichier DCA.ACCEL.STOR.CERT.

      # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT
      Enter PIN for PKCS#11 token: Type user:password

      Si le certificat autosigné a utilisé rsa_encrypt comme valeur du paramètre auth_method, ajoutez le certificat de l'homologue au magasin du matériel.

    • Certificats d'une AC.

      Ajoutez le certificat généré par l'AC suite à votre demande et le certificat de l'organisation.

      Vous devrez peut-être également. pour ajouter des certificats intermédiaires

      # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT
      Enter PIN for PKCS#11 token: Type user:password
      # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CA.CERT
      Enter PIN for PKCS#11 token: Type user:password

      Pour ajouter une liste des certificats révoqués de l'autorité de certification, reportez-vous à Gestion des certificats révoqués dans IKEv1.

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.