Los certificados de clave pública también podrían guardarse en el hardware conectado. La placa Sun Crypto Accelerator 6000 proporciona almacenamiento y permite que las operaciones de clave pública se descarguen del sistema a la placa.
La generación y el almacenamiento de certificados de clave pública en hardware es similar a la generación y el almacenamiento de certificados de clave pública en el sistema. En el hardware, el comando ikev2cert gencert token=hw-keystore se usa para identificar el almacén de claves del hardware.
Antes de empezar
En este procedimiento, se presupone que hay una placa Sun Crypto Accelerator 6000 conectada al sistema. Además, el procedimiento asume que se ha instalado el software para la placa y que se ha configurado el almacén de claves del hardware. Para obtener instrucciones, consulte Sun Crypto Accelerator 6000 Board Product Library Documentation. Estas instrucciones incluyen la configuración del almacén de claves.
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
# pfbash # ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 sca6000 sca6000 LI 2 n2cp/0 Crypto Accel Bulk 1.0 n2cp/0 Crypto Accel Bulk 1.0 3 ncp/0 Crypto Accel Asym 1.0 ncp/0 Crypto Accel Asym 1.0 4 n2rng/0 SUNW_N2_Random_Number_Ge n2rng/0 SUNW_N2_RNG 5 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
Elija una de las siguientes opciones:
# ikev2cert gencert token=sca6000 keytype=rsa \ hash=sha256 keylen=2048 \ subject="CN=FortKnox, C=US" serial=0x6278281232 label=goldrepo Enter PIN for sca6000: See Step 3
# ikev2cert gencsr token=sca6000 -i > keytype= > hash= > keylen= > subject= > serial= > label= > outcsr= Enter PIN for sca6000 token: See Step 3
Para obtener una descripción de los argumentos del comando ikev2cert, consulte la página del comando man pktool(1).
Si la placa Sun Crypto Accelerator 6000 está configurada con un usuario admin cuya contraseña es inThe%4ov, escribirá lo siguiente:
Enter PIN for sca6000 token: admin:inThe%4ov -----BEGIN X509 CERTIFICATE----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu … oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE-----
Elija una de las siguientes opciones:
El certificado se puede pegar en un mensaje de correo electrónico.
Siga las instrucciones de la CA para enviar la CSR. Para obtener una explicación más detallada, consulte Uso de certificados de claves públicas en IKE.
Importe los certificados que recibió de la CA, y proporcione el usuario y el PIN Step 5.
# ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CERT1 Enter PIN for sca6000 token: Type user:password # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CA.CERT Enter PIN for sca6000 token: Type user:password
Se prefiere el inicio de sesión automático. Si la política de seguridad del sitio no permite el inicio de sesión automático, deberá iniciar sesión en el almacén de claves cuando se reinicie el daemon in.ikev2d.
Para obtener una descripción de esta propiedad, consulte Servicio IKEv2.
# svccfg -s ike:ikev2 editprop
Se abrirá una ventana de edición temporal.
# setprop pkcs11_token/uri = () Original entry setprop pkcs11_token/uri = pkcs11:token=sca6000
# setprop pkcs11_token/uri = () Original entry setprop pkcs11_token/uri = admin:PIN-from-Step-3
# refresh refresh
# svccfg -s ikev2 listprop pkcs11_token pkcs11_token/pin astring username:PIN pkcs11_token/uri astring pkcs11:token=sca6000
Ejecute este comando cada vez que se inicie el daemon in.ikev2d.
# pfexec ikeadm -v2 token login sca6000 Enter PIN for sca6000 token: admin:PIN-from-Step-3 ikeadm: sca6000 operation successful
Pasos siguientes
Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.