Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Bases de données de clés publiques et commandes IKEv1

La commande ikecert gère les clés publiques et privées du système, ses certificats publics et les bases de données de LCR statiques. Utilisez-la lorsque le fichier de configuration d'IKEv1 requiert des certificats de clés publiques. Ces bases de données étant utilisées par IKEv1 pour authentifier la phase 1 de l'échange, elles doivent être alimentées avant l'activation du démon in.iked. Trois sous-commandes permettent de gérer chacune des trois bases de données : certlocal, certdb et certrldb.

Si une carte Sun Crypto Accelerator 6000 est connectée au système, la commande ikecert utilise une bibliothèque PKCS #11 pour accéder au stockage matériel de clés et certificats.

Pour plus d'informations, consultez la page de manuel ikecert(1M) Pour plus d'informations sur le metaslot et sur le fichier keystore de clés softtoken, reportez-vous à la page de manuel cryptoadm(1M).

Commande IKEv1 ikecert tokens

L'argument tokens répertorie les ID de jetons disponibles. Les ID de jetons permettent aux commandes ikecert certlocal et ikecert certdb de générer des certificats de clés publiques et des CSR. Les clés et certificats peuvent également être stockées sur une carte Sun Crypto Accelerator 6000 connectée. La commande ikecertutilise la bibliothèque PKCS #11 pour accéder au keystore matériel.

Commande IKEv1 ikecert certlocal

La sous-commande certlocalgère la base de données des clés privées. Les options de cette sous-commande permettent d'ajouter, d'afficher et de supprimer des clés privées. Cette sous-commande permet également de créer un certificat autosigné ou une CSR. L'option –ks crée un certificat autosigné L'option –kc crée une CSR. Les clés sont stockées sur le système, dans le répertoire /etc/inet/secret/ike.privatekeys, ou, avec l'option –T, sur un composant matériel connecté.

Lorsque vous créez une clé privée, les options de la commande ikecert certlocal doivent avoir des entrées connexes dans le fichier ike/config. Le tableau ci-dessous détaille les correspondances entre les options ikecert et les entrées ike/config.

Table 12-3  Correspondances entre les options ikecert et les entrées ike/config dans IKEv1
Option ikecert
Entrée ike/config
Description
–A subject-alternate-name
cert_trust subject-alternate-name
Pseudonyme identifiant le certificat de manière unique. Il peut s'agir d'une adresse IP, d'une adresse e-mail ou d'un nom de domaine.
–D X.509-distinguished-name
X.509-distinguished-name
Nom complet de l'autorité de certification, incluant le pays (C), le nom de l'organisation (ON), l'unité d'organisation (OU) et le nom commun (CN).
–t dsa-sha1 | dsa-sha256
auth_method dsa_sig
Méthode d'authentification légèrement plus lente que RSA.
–t rsa-md5 et
–t rsa-sha1 | rsa-sha256 | rsa-sha384 | rsa-sha512
auth_method rsa_sig
Méthode d'authentification légèrement plus rapide que la méthode DSA.
La clé publique RSA doit être suffisamment importante pour chiffrer la charge utile la plus lourde. Les charges les plus lourdes sont habituellement les données d'identité (par exemple, le nom distinctif X.509).
–t rsa-md5 et
–t rsa-sha1 | rsa-sha256 | rsa-sha384 | rsa-sha512
auth_method rsa_encrypt
Le chiffrement RSA met les identités d'IKE à l'abri des écoutes électroniques, mais implique que les pairs IKE connaissent leurs clés publiques respectives.

Si vous émettez une CSR à l'aide de la commande ikecert certlocal -kc, vous envoyez la sortie de la commande à l'autorité de certification (AC). Si votre entreprise possède sa propre PKI (Public Key Infrastructure), vous envoyez cette sortie à votre administrateur de PKI. L'AC ou votre administrateur de PKI crée ensuite les certificats. Ceux qui vous sont remis sont entrés dans la sous-commande certdb. La liste des certificats révoqués (LCR) que l'AC vous envoie est entrée dans la sous-commande certrldb.

Commande IKEv1 ikecert certdb

la sous-commande certdb gère la base de données des clés publiques. Les options de cette sous-commande vous permettent d'ajouter, d'afficher et de supprimer des certificats et des clés publiques. Cette sous-commande accepte l'entrée de certificats générés par la commande ikecert certlocal -ks sur un système distant. Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration d'IKEv1 avec des certificats de clés publiques autosignés. Cette commande accepte également l'entrée de certificats émanant d'une AC. Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration du protocole IKEv1 avec des certificats signés par une AC.

Les certificats et les clés publiques sont stockés sur le système dans le répertoire /etc/inet/ike/publickeys. L'option –T permet de stocker les certificats, les clés privées et les clés publiques sur les composants matériels connectés.

Commande IKEv1 ikecert certrldb

La sous-commande certrldb gère la base de données des listes de certificats révoqués (LCR), /etc/inet/ike/crls. Cette base de données LCR met à jour les listes de révocation des clés publiques. Les certificats qui ne sont plus valides figurent dans ces listes. Lorsqu'une AC vous fait parvenir une LCR, vous pouvez l'installer dans cette base de données à l'aide de la commande ikecert certrldb. Pour plus d'informations sur cette procédure, reportez-vous à la section Gestion des certificats révoqués dans IKEv1.

Répertoire IKEv1 /etc/inet/ike/publickeys

Le répertoire /etc/inet/ike/publickeys contient la partie publique d'une paire de clés publique-privée et son certificat, dans des fichier aussi appelés emplacements. Ce répertoire est protégé en mode 0755. et peut être alimenté à l'aide de la commande ikecert certdb. L'option –T permet de stocker les clés sur une carte Sun Crypto Accelerator 6000 plutôt que dans le répertoire publickeys.

les emplacements contiennent, sous forme codée, le nom distinctif X.509 d'un certificat généré sur un autre système. Si vous utilisez des certificats autosignés, vous devez indiquer le certificat que l'administrateur du système distant vous a envoyé comme entrée de commande. Si vous utilisez des certificats d'une CA, vous installez deux certificats signés d'une CA dans la base de données. Vous installez un certificat basé sur la CSR envoyée à l'AC. Vous installez également un certificat de la CA.

IKEv1 /etc/inet/secret/ike.privatekeys

Le répertoire /etc/inet/secret/ike.privatekeys contient des fichiers de clés privées qui font partie d'une paire de clés publique-privée. Ce répertoire est protégé en mode 0700. La commande ikecert certlocal permet d'alimenter le répertoire ike.privatekeys. Les clés privées sont effectives uniquement lors de l'installation de leur clé publique homologue, de certificats autosignés ou de certificats CA. Les clés publiques homologues sont stockées dans le répertoire /etc/inet/ike/publickeys ou sur du matériel pris en charge.

Répertoire IKEv1 /etc/inet/ike/crls

Le répertoire /etc/inet/ike/crls contient les fichiers des listes de certificats révoqués (LCR). Chaque fichier correspond à un fichier de certificat public du répertoire /etc/inet/ike/publickeys. Les AC fournissent les LCR correspondant à leurs certificats. La commande ikecert certrldb permet d'alimenter la base de données.