Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo generar y almacenar certificados de claves públicas para IKEv2 en el hardware

Los certificados de clave pública también podrían guardarse en el hardware conectado. La placa Sun Crypto Accelerator 6000 proporciona almacenamiento y permite que las operaciones de clave pública se descarguen del sistema a la placa.

La generación y el almacenamiento de certificados de clave pública en hardware es similar a la generación y el almacenamiento de certificados de clave pública en el sistema. En el hardware, el comando ikev2cert gencert token=hw-keystore se usa para identificar el almacén de claves del hardware.

Antes de empezar

En este procedimiento, se presupone que hay una placa Sun Crypto Accelerator 6000 conectada al sistema. Además, el procedimiento asume que se ha instalado el software para la placa y que se ha configurado el almacén de claves del hardware. Para obtener instrucciones, consulte Sun Crypto Accelerator 6000 Board Product Library Documentation. Estas instrucciones incluyen la configuración del almacén de claves.

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

  1. Confirme que tiene un ID para la placa Sun Crypto Accelerator 6000 conectada.
    # pfbash
    # ikev2cert tokens
    
    Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired
    Slot ID  Slot Name                         Token Name                        Flags
    -------  ---------                         ----------                        -----
    1        sca6000                           sca6000                           LI
    2        n2cp/0 Crypto Accel Bulk 1.0      n2cp/0 Crypto Accel Bulk 1.0
    3        ncp/0 Crypto Accel Asym 1.0       ncp/0 Crypto Accel Asym 1.0
    4        n2rng/0 SUNW_N2_Random_Number_Ge  n2rng/0 SUNW_N2_RNG
    5        Sun Crypto Softtoken              Sun Software PKCS#11 softtoken    LI
  2. Genere un certificado autofirmado o una CSR, y especifique el ID del token.

    Notas -  La placa Sun Crypto Accelerator 6000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits.

    Elija una de las siguientes opciones:

    • Para un certificado autofirmado, use esta sintaxis:
      # ikev2cert gencert token=sca6000 keytype=rsa \
      hash=sha256 keylen=2048 \
      subject="CN=FortKnox, C=US" serial=0x6278281232 label=goldrepo
      Enter PIN for sca6000: See Step 3
    • Para una solicitud de firma de certificado, use esta sintaxis:
      # ikev2cert gencsr token=sca6000 -i
      > keytype=
      > hash=
      > keylen=
      > subject=
      > serial=
      > label=
      > outcsr=
      Enter PIN for sca6000 token: See Step 3

    Para obtener una descripción de los argumentos del comando ikev2cert, consulte la página del comando man pktool(1).

  3. Cuando se le solicite un PIN, escriba el usuario de Sun Crypto Accelerator 6000, dos puntos y la contraseña del usuario.

    Notas -  Debe conocer el nombre de usuario y la contraseña del almacén de claves.

    Si la placa Sun Crypto Accelerator 6000 está configurada con un usuario admin cuya contraseña es inThe%4ov, escribirá lo siguiente:

    Enter PIN for sca6000 token: admin:inThe%4ov
    -----BEGIN X509 CERTIFICATE-----
    MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu
    …
    oKUDBbZ9O/pLWYGr
    -----END X509 CERTIFICATE-----
  4. Envíe su certificado para que lo pueda utilizar la otra parte.

    Elija una de las siguientes opciones:

    • Envíe el certificado autofirmado al sistema remoto.

      El certificado se puede pegar en un mensaje de correo electrónico.

    • Envíe la solicitud de firma de certificado a la CA.

      Siga las instrucciones de la CA para enviar la CSR. Para obtener una explicación más detallada, consulte Uso de certificados de claves públicas en IKE.

  5. Importe los certificados al almacén de claves del hardware.

    Importe los certificados que recibió de la CA, y proporcione el usuario y el PIN Step 5.

    # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CERT1
    Enter PIN for sca6000 token: Type user:password
    # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CA.CERT
    Enter PIN for sca6000 token: Type user:password
  6. Active el almacén de claves de hardware que se utilizará automáticamente o interactivamente.

    Se prefiere el inicio de sesión automático. Si la política de seguridad del sitio no permite el inicio de sesión automático, deberá iniciar sesión en el almacén de claves cuando se reinicie el daemon in.ikev2d.

    • Configure el inicio de sesión automático para el almacén de claves.
      1. Agregue el PIN como valor para la propiedad del servicio pkcs11_token/uri.

        Para obtener una descripción de esta propiedad, consulte Servicio IKEv2.

        # svccfg -s ike:ikev2 editprop

        Se abrirá una ventana de edición temporal.

      2. Elimine el comentario de la línea setprop pkcs11_token/uri = y reemplace los paréntesis por el nombre del token con el siguiente formato:
        # setprop pkcs11_token/uri = () Original entry
        setprop pkcs11_token/uri = pkcs11:token=sca6000
      3. Elimine el comentario de la línea setprop pkcs11_token/uri = y reemplace el paréntesis por username:PIN del Step 5.
        # setprop pkcs11_token/uri = () Original entry
        setprop pkcs11_token/uri = admin:PIN-from-Step-3
      4. Elimine el comentario de la línea refresh en la parte inferior del archivo y, a continuación, guarde los cambios.
        # refresh
        refresh
      5. (Opcional) Compruebe el valor de las propiedades de pkcs11_token.
        # svccfg -s ikev2 listprop pkcs11_token
        pkcs11_token/pin     astring  username:PIN
        pkcs11_token/uri     astring  pkcs11:token=sca6000
    • Si no está configurado el inicio de sesión automático, inicie sesión en el almacén de claves de hardware manualmente.

      Ejecute este comando cada vez que se inicie el daemon in.ikev2d.

      # pfexec ikeadm -v2 token login sca6000
      Enter PIN for sca6000 token: admin:PIN-from-Step-3
      ikeadm: sca6000 operation successful

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.