Las organizaciones que protegen una gran cantidad de sistemas de comunicación suelen utilizar los certificados públicos de una autoridad de certificación (CA). Para obtener información básica, consulte IKE con certificados de claves públicas.
Debe realizar este procedimiento en todos los sistemas IKE que utilizan certificados de una CA.
Antes de empezar
Para utilizar los certificados, debe haber completado Cómo crear y utilizar un almacén de claves para certificados de clave pública IKEv2.
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
El siguiente mensaje de error puede indicar que el archivo de CSR no se puede escribir en el disco:
Warning: error accessing "CSR-file"
Por ejemplo, utilice el directorio /tmp.
# cd /tmp
Utilice el comando ikev2cert gencsr para crear una solicitud de firma de certificado (CSR). Para obtener una descripción de los argumentos del comando, revise el subcomando pktool gencsr keystore=pkcs11 en la página del comando man pktool(1).
Por ejemplo, el comando siguiente crea un archivo que contiene la CSR en el sistema partym:
# pfbash # /usr/sbin/ikev2cert gencsr \ keytype=rsa keylen=2048 label=Partym1 \ outcsr=/tmp/Partymcsr1 \ subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx
# cat /tmp/Partymcsr1 -----BEGIN CERTIFICATE REQUEST----- MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q 3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1 GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw -----END CERTIFICATE REQUEST-----
La CA puede indicarle cómo enviar la CSR. La mayoría de las organizaciones cuenta con un sitio web con un formulario de envío. El formulario requiere una prueba de que el envío es legítimo. Normalmente, la CSR se pega en el formulario.
El comando ikev2cert import importa el certificado al almacén de claves.
# ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert
# ikev2cert import objtype=cert infile=/tmp/Partym1CAcert
Si la CA ha enviado archivos independientes para cada certificado intermedio, a continuación, impórtelos como importó los certificados anteriores. Sin embargo, si la CA entrega la cadena de certificados como un archivo PKCS#7, debe extraer los certificados individuales desde el archivo, a continuación, importar cada certificado como importó los certificados anteriores:
# openssl pkcs7 -in pkcs7-file -print_certs # ikev2cert import objtype=cert label=Partym1 infile=individual-cert
Si el certificado contiene secciones para las CRL u OCSP, debe configurar la política de validación de certificados según los requisitos de su sitio. Para obtener instrucciones, consulte Cómo definir una política de validación de certificados en IKEv2.
Los sistemas pares necesitan el certificado anclaje de confianza y un archivo ikev2.config configurado.
Pasos siguientes
Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.