La generación y el almacenamiento de certificados de clave pública en hardware es similar a la generación y el almacenamiento de certificados de clave pública en el sistema. En el hardware, los comandos ikecert certlocal e ikecert certdb deben identificar el hardware. La opción –T con el ID de token identifica el hardware para los comandos.
Antes de empezar
El hardware debe estar configurado.
El hardware utiliza la biblioteca /usr/lib/libpkcs11.so, a menos que la palabra clave pkcs11_path del archivo /etc/inet/ike/config haga referencia a una biblioteca distinta. La biblioteca debe implementarse de acuerdo con el estándar siguiente: RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki), es decir, una biblioteca PKCS #11.
Consulte Cómo configurar IKEv1 para buscar la placa Sun Crypto Accelerator 6000 para obtener instrucciones sobre la instalación.
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
Elija una de las siguientes opciones:
# ikecert certlocal -ks -m 2048 -t rsa-sha512 \ > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ > -a -T dca0-accel-stor IP=192.168.116.16 Creating hardware private keys. Enter PIN for PKCS#11 token: Type user:password
El argumento para la opción –T es el ID de token de la placa Sun Crypto Accelerator 6000 conectada.
# ikecert certlocal -kc -m 2048 -t rsa-sha512 \ > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \ > -a -T dca0-accel-stor IP=192.168.116.16 Creating hardware private keys. Enter PIN for PKCS#11 token: Type user:password
Para obtener una descripción de los argumentos del comando ikecert, consulte la página del comando man ikecert(1M).
Si la placa Sun Crypto Accelerator 6000 tiene un usuario ikemgr cuya contraseña es rgm4tigt, debe escribir lo siguiente:
Enter PIN for PKCS#11 token: ikemgr:rgm4tigt
Una vez que ha escrito la contraseña, se imprime el certificado con la siguiente salida:
Enter PIN for PKCS#11 token: ikemgr:rgm4tigt -----BEGIN X509 CERTIFICATE----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu … oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE-----
Elija una de las siguientes opciones:
El certificado se puede pegar en un mensaje de correo electrónico.
Siga las instrucciones de la CA para enviar la solicitud de certificado. Para obtener información más detallada, consulte el Step 2 de Cómo configurar IKEv1 con certificados firmados por una CA.
Elija una de las siguientes opciones.
Utilice los valores que proporciona el administrador del sistema remoto para los parámetros cert_trust, remote_id y remote_addr . Por ejemplo, en el sistema enigma, el archivo ike/config sería similar a:
# Explicitly trust the following self-signed certs
# Use the Subject Alternate Name to identify the cert
cert_trust "192.168.116.16" Local system's certificate Subject Alt Name
cert_trust "192.168.13.213" Remote system's certificate Subject Alt name
…
{
label "JA-enigma to US-partym"
local_id_type dn
local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
p1_xform
{auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes}
}
Escriba el nombre que la CA proporciona como valor de la palabra clave cert_root. Por ejemplo, el archivo ike/config en el sistema enigma podría ser similar a:
# Trusted root cert
# This certificate is from Example CA
# This is the X.509 distinguished name for the CA that it issues.
cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example, CN=Example CA"
…
{
label "JA-enigma to US-partym - Example CA"
local_id_type dn
local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
p1_xform
{auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes}
}
Responda a la solicitud de PIN del mismo modo que en el Step 4.
Agregue el certificado autofirmado al sistema remoto. En este ejemplo, el certificado se guarda en el archivo, DCA.ACCEL.STOR.CERT.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password
Si el certificado autofirmado utilizó rsa_encrypt como valor para el parámetro auth_method, agregue el certificado del equivalente al hardware.
Agregue el certificado generó la CA a partir de la solicitud de certificado y agregue el certificado de la organización.
Es posible que también deba agregar los certificados intermedios.
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT Enter PIN for PKCS#11 token: Type user:password
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CA.CERT Enter PIN for PKCS#11 token: Type user:password
Para agregar una lista de revocación de certificados (CRL) de la CA, consulte Cómo administrar certificados revocados en IKEv1.
Pasos siguientes
Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.