Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Configuration d'IKEv1 avec des certificats à clé publique

Grâce aux certificats de clés publiques, les systèmes communicants n'ont plus besoin de partager de numéros de clé secrets hors bande. Les certificats publics émanant d'autorités de certification (AC) requièrent une négociation avec une organisation externe. Ces certificats s'intègrent très facilement dans les environnements à grande échelle afin protéger un grand nombre de systèmes communicants.

Les certificats de clés publiques peuvent également être stockés dans le matériel connecté. Pour la procédure, reportez-vous à la section Configuration du protocole IKEv1 en vue de l'utilisation du matériel connecté.

Tous les certificats possèdent un nom unique sous la forme d'un nom distinctif (ND) X.509. En outre, un certificat a peut-être au moins un domaine d'autres noms, adresse e-mail , par exemple, un, une adresse IP nom DNS, et ainsi de suite. Vous pouvez identifier le certificat dans la configuration IKEv1 par son ND complet ou par l'un des autres noms de l'objet. Le format de ces autres noms est tag=value, où le format de la valeur correspond à son type de balise. Par exemple, le format de la balise email est name@domain.suffix.

La liste de tâches suivantes décrit les procédures de création de certificats de clé publique pour IKEv1. Ces procédures incluent l'accélération et le stockage de certificats sur le matériel connecté.

Table 10-1  Liste de tâches pour la configuration d'IKEv1 avec des certificats de clé publique
Tâche
Description
Pour obtenir des instructions
Configuration du protocole IKEv1 avec des certificats de clés publiques autosignés.
Crée et place deux certificats sur chaque système :

  • Un certificat auto-signé et ses clés

  • Certificat de clé publique du système homologue
Configuration d'IKEv1 avec des certificats de clés publiques autosignés
Configuration d'IKEv1 avec une autorité de certification.
Crée une demande de signature de certificat, puis place les certificats à partir de la CA sur chacun des systèmes. Reportez-vous à Utilisation de certificats de clés publiques dans IKE.
Configuration du protocole IKEv1 avec des certificats signés par une AC
Configuration de certificats de clés publiques sur le matériel local
Procédez de l'une des manières suivantes :

  • Générez un certificat autosigné sur le matériel local et ajoutez la clé publique d'un système distant sur le matériel.

  • Génération d'une demande de signature de certificat dans le matériel local et ajout de certificats de clés publiques de l'AC dans le matériel.
Génération et stockage de certificats de clés publiques pour IKEv1 dans le matériel
Mise à jour de la liste des certificats révoqués (LCR) d'une AC.
Accédez à la CRL depuis un point de distribution central.
Gestion des certificats révoqués dans IKEv1
Remarque -  Pour étiqueter les paquets et les négociations IKE sur un système Trusted Extensions, effectuez les procédures décrites à la section Configuration d’IPsec avec étiquettes du manuel Configuration et administration de Trusted Extensions .

Les certificats de clés publiques sont gérés dans la zone globale sur les systèmes Trusted Extensions. Trusted Extensions ne change pas la manière dont les certificats sont gérés et stockés.

Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant