Debe crear un almacén de claves si planea usar certificados públicos con IKEv2. Para utilizar el almacén de claves, debe iniciar sesión. Cuando se inicia el daemon in.ikev2d, usted o un proceso automático suministran el PIN al daemon. Si la seguridad del sitio permite el inicio de sesión automático, debe configurarlo. El valor predeterminado es un inicio de sesión interactivo para utilizar el almacén de claves.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
El comando ikev2cert setpin se usa para crear el almacén de claves de IKEv2. Este comando establece el propietario del almacén de claves de PKCS #11 como ikeuser.
No use espacios en el PIN. Por ejemplo. el valor WhatShouldIWrite es válido, pero el valor "What Should" no lo es.
% pfbash # /usr/sbin/ikev2cert setpin Enter token passphrase: changeme Create new passphrase: Type strong passphrase Re-enter new passphrase: xxxxxxxx Passphrase changed.
![]() | Precaución - Almacene esta frase de contraseña en una ubicación segura. La necesitará para utilizar el almacén de claves. |
Se prefiere el inicio de sesión automático. Si la política de seguridad del sitio no permite el inicio de sesión automático, deberá iniciar sesión en el almacén de claves cuando se reinicie el daemon in.ikev2d.
# svccfg -s ike:ikev2 editprop
Se abrirá una ventana de edición temporal.
# setprop pkcs11_token/pin = astring: () Original entry setprop pkcs11_token/pin = astring: () Uncommented entry
setprop pkcs11_token/pin = astring: PIN-from-Step-1
Deje un espacio entre los dos puntos y el PIN.
# refresh refresh
La propiedad pkcs11_token/pin retiene el valor que se comprueba cuando se accede al almacén de claves que es propiedad de ikeuser.
# svccfg -s ike:ikev2 listprop pkcs11_token/pin pkcs11_token/pin astring PIN
Ejecute este comando cada vez que se inicie el daemon in.ikev2d.
# pfbash # ikeadm -v2 token login "Sun Metaslot" Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1 ikeadm: PKCS#11 operation successful
# ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
La columna LI de la columna Flags indica que el PIN ha sido definido.
# ikeadm -v2 token logout "Sun Metaslot" ikeadm: PKCS#11 operation successful
Puede cerrar sesión para limitar la comunicación entre dos sitios a un período finito de tiempo. Si cierra sesión, la clave privada deja de estar disponible, por lo que no se pueden iniciar sesiones nuevas de IKEv2. La sesión existente de IKEv2 continúa a menos que suprima las claves de sesión con el comando ikeadm delete ikesa. La regla de claves compartidas previamente continúa funcionando. Consulte la página del comando man ikeadm(1M).