Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo crear y utilizar un almacén de claves para certificados de clave pública IKEv2

Debe crear un almacén de claves si planea usar certificados públicos con IKEv2. Para utilizar el almacén de claves, debe iniciar sesión. Cuando se inicia el daemon in.ikev2d, usted o un proceso automático suministran el PIN al daemon. Si la seguridad del sitio permite el inicio de sesión automático, debe configurarlo. El valor predeterminado es un inicio de sesión interactivo para utilizar el almacén de claves.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Establezca el PIN para el almacén de claves IKEv2.

    El comando ikev2cert setpin se usa para crear el almacén de claves de IKEv2. Este comando establece el propietario del almacén de claves de PKCS #11 como ikeuser.

    No use espacios en el PIN. Por ejemplo. el valor WhatShouldIWrite es válido, pero el valor "What Should" no lo es.

    %  pfbash
    # /usr/sbin/ikev2cert setpin
    Enter token passphrase: changeme
    Create new passphrase: Type strong passphrase
    Re-enter new passphrase: xxxxxxxx
    Passphrase changed.

    Caution

    Precaución  -  Almacene esta frase de contraseña en una ubicación segura. La necesitará para utilizar el almacén de claves.


  2. Inicie sesión en el almacén de claves de forma automática o interactiva.

    Se prefiere el inicio de sesión automático. Si la política de seguridad del sitio no permite el inicio de sesión automático, deberá iniciar sesión en el almacén de claves cuando se reinicie el daemon in.ikev2d.

    • Configure el almacén de claves para activar el inicio de sesión automático.
      1. Agregue el PIN como valor para la propiedad del servicio pkcs11_softtoken/pin.
        # svccfg -s ike:ikev2 editprop

        Se abrirá una ventana de edición temporal.

      2. Elimine el comentario de la línea setprop pkcs11_token/pin =.
        # setprop pkcs11_token/pin = astring: () Original entry
        setprop pkcs11_token/pin = astring: () Uncommented entry
      3. Reemplace los paréntesis con el PIN de Step 1.
        setprop pkcs11_token/pin = astring: PIN-from-Step-1

        Deje un espacio entre los dos puntos y el PIN.

      4. Elimine el comentario de la línea refresh en la parte inferior del archivo y, a continuación, guarde los cambios.
        # refresh
        refresh
      5. (Opcional) Compruebe el valor de la propiedad pkcs11_token/pin.

        La propiedad pkcs11_token/pin retiene el valor que se comprueba cuando se accede al almacén de claves que es propiedad de ikeuser.

        # svccfg -s ike:ikev2 listprop pkcs11_token/pin
        pkcs11_token/pin     astring  PIN
    • Si no está configurado el inicio de sesión automático, inicie sesión en el almacén de claves al almacén de claves de forma manual.

      Ejecute este comando cada vez que se inicie el daemon in.ikev2d.

      # pfbash
      # ikeadm -v2 token login "Sun Metaslot"
      Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1
      ikeadm: PKCS#11 operation successful
  3. (Opcional) Verifique que el PIN ha sido establecido en el almacén de claves.
    # ikev2cert tokens
    Flags: L=Login required  I=Initialized  X=User PIN expired  S=SO PIN expired
    Slot ID     Slot Name                   Token Name                        Flags 
    -------     ---------                   ----------                        ----- 
    1           Sun Crypto Softtoken        Sun Software PKCS#11 softtoken    LI    

    La columna LI de la columna Flags indica que el PIN ha sido definido.

  4. Para cerrar sesión manualmente en pkcs11_softtoken, use el comando ikeadm.
    # ikeadm -v2 token logout "Sun Metaslot"
    ikeadm: PKCS#11 operation successful

    Puede cerrar sesión para limitar la comunicación entre dos sitios a un período finito de tiempo. Si cierra sesión, la clave privada deja de estar disponible, por lo que no se pueden iniciar sesiones nuevas de IKEv2. La sesión existente de IKEv2 continúa a menos que suprima las claves de sesión con el comando ikeadm delete ikesa. La regla de claves compartidas previamente continúa funcionando. Consulte la página del comando man ikeadm(1M).