Cómo configurar IKEv2 con certificados firmados por una CA

Las organizaciones que protegen una gran cantidad de sistemas de comunicación suelen utilizar los certificados públicos de una autoridad de certificación (CA). Para obtener información básica, consulte IKE con certificados de claves públicas.

Debe realizar este procedimiento en todos los sistemas IKE que utilizan certificados de una CA.

Antes de empezar

Para utilizar los certificados, debe haber completado Cómo crear y utilizar un almacén de claves para certificados de clave pública IKEv2.

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

1. Cambie a un directorio que permita escritura.

   El siguiente mensaje de error puede indicar que el archivo de CSR no se puede escribir en el disco:

   Warning: error accessing "CSR-file"

   Por ejemplo, utilice el directorio /tmp.

   # cd /tmp

2. Cree una solicitud de firma de certificado.

   Utilice el comando ikev2cert gencsr para crear una solicitud de firma de certificado (CSR). Para obtener una descripción de los argumentos del comando, revise el subcomando pktool gencsr keystore=pkcs11 en la página del comando man pktool(1).

   Por ejemplo, el comando siguiente crea un archivo que contiene la CSR en el sistema partym:

   # pfbash
   # /usr/sbin/ikev2cert gencsr \
   keytype=rsa
   keylen=2048
   label=Partym1 \
   outcsr=/tmp/Partymcsr1 \
   subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym"
   Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx

3. (Opcional) Copie el contenido de la CSR para pegarlo en el formulario web de la CA.

   # cat /tmp/Partymcsr1
   -----BEGIN CERTIFICATE REQUEST-----
   MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu
   eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi
   MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb
   WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA
   jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH
   bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q
   3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH
   nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB
   AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1
   GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt
   kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB
   JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB
   Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO
   E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw
   -----END CERTIFICATE REQUEST-----
   

4. Envíe la CSR a autoridad de certificación (CA).

   La CA puede indicarle cómo enviar la CSR. La mayoría de las organizaciones cuenta con un sitio web con un formulario de envío. El formulario requiere una prueba de que el envío es legítimo. Normalmente, la CSR se pega en el formulario.

   ---

   Consejo  -  Algunos formularios web tienen un botón Avanzado, que le permite pegar el certificado. La CSR se genera con el formato PKCS#10. Por lo tanto, busque la parte del formulario web que menciona PKCS#10.

   ---

5. Importe todos los certificados que reciba de la CA al almacén de claves.

   El comando ikev2cert import importa el certificado al almacén de claves.

   1. Importe la clave pública y el certificado que recibió de la CA.

      # ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert

      ---

      Consejo  -  Para una mayor comodidad administrativa, asigne la misma etiqueta al certificado importado que la etiqueta de la CSR original.

      ---

   2. Importe el certificado raíz desde la CA.

      # ikev2cert import objtype=cert infile=/tmp/Partym1CAcert

   3. Importe cualquier certificado de CA intermedio al almacén de claves.

      ---

      Consejo  -  Para una mayor comodidad administrativa, asigne la misma etiqueta a los certificados intermedios importados como la etiqueta del CSR original.

      ---

      Si la CA ha enviado archivos independientes para cada certificado intermedio, a continuación, impórtelos como importó los certificados anteriores. Sin embargo, si la CA entrega la cadena de certificados como un archivo PKCS#7, debe extraer los certificados individuales desde el archivo, a continuación, importar cada certificado como importó los certificados anteriores:

      ---

      Notas -  Debe asumir el rol root para ejecutar el comando openssl. Consulte la página del comando man openssl(5).

      ---

      # openssl pkcs7 -in pkcs7-file -print_certs
      # ikev2cert import objtype=cert label=Partym1 infile=individual-cert

6. Defina la política de validación del certificado.

   Si el certificado contiene secciones para las CRL u OCSP, debe configurar la política de validación de certificados según los requisitos de su sitio. Para obtener instrucciones, consulte Cómo definir una política de validación de certificados en IKEv2.

7. Una vez que haya completado el procedimiento en todos los sistemas IKE que usan el certificado, active el servicio ikev2 en todos los sistemas.

   Los sistemas pares necesitan el certificado anclaje de confianza y un archivo ikev2.config configurado.

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.