Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo generar y almacenar certificados de claves públicas para IKEv1 en el hardware

La generación y el almacenamiento de certificados de clave pública en hardware es similar a la generación y el almacenamiento de certificados de clave pública en el sistema. En el hardware, los comandos ikecert certlocal e ikecert certdb deben identificar el hardware. La opción –T con el ID de token identifica el hardware para los comandos.

Antes de empezar

  • El hardware debe estar configurado.

  • El hardware utiliza la biblioteca /usr/lib/libpkcs11.so, a menos que la palabra clave pkcs11_path del archivo /etc/inet/ike/config haga referencia a una biblioteca distinta. La biblioteca debe implementarse de acuerdo con el estándar siguiente: RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki), es decir, una biblioteca PKCS #11.

    Consulte Cómo configurar IKEv1 para buscar la placa Sun Crypto Accelerator 6000 para obtener instrucciones sobre la instalación.

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

  1. Genere un certificado autofirmado o una CSR, y especifique el ID de token.

    Notas -  La placa Sun Crypto Accelerator 6000 admite claves de hasta 2048 bits para RSA. Para DSA, esta placa admite claves de hasta 1024 bits.

    Elija una de las siguientes opciones:

    • Para un certificado autofirmado, use esta sintaxis:
      # ikecert certlocal -ks -m 2048 -t rsa-sha512 \
      > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
      > -a -T dca0-accel-stor IP=192.168.116.16
      Creating hardware private keys.
      Enter PIN for PKCS#11 token: Type user:password

      El argumento para la opción –T es el ID de token de la placa Sun Crypto Accelerator 6000 conectada.

    • Para una CSR, use esta sintaxis:
      # ikecert certlocal -kc -m 2048 -t rsa-sha512 \
      > -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
      > -a -T dca0-accel-stor IP=192.168.116.16
      Creating hardware private keys.
      Enter PIN for PKCS#11 token: Type user:password

    Para obtener una descripción de los argumentos del comando ikecert, consulte la página del comando man ikecert(1M).

  2. Cuando se le solicite un PIN, escriba el nombre de usuario de Sun Crypto Accelerator 6000, dos puntos y la contraseña del usuario.

    Si la placa Sun Crypto Accelerator 6000 tiene un usuario ikemgr cuya contraseña es rgm4tigt, debe escribir lo siguiente:

    Enter PIN for PKCS#11 token: ikemgr:rgm4tigt

    Notas -  Si escribe los comandos ikecert con la opción –p, el token PKCS #11 se almacena en el disco como texto sin cifrar y está protegido por los permisos de root. Si no almacena el PIN en el disco, debe desbloquear el token mediante el comando ikeadm después de que se ha ejecutado el comando in.iked.

    Una vez que ha escrito la contraseña, se imprime el certificado con la siguiente salida:

    Enter PIN for PKCS#11 token: ikemgr:rgm4tigt
    -----BEGIN X509 CERTIFICATE-----
    MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu
    …
    oKUDBbZ9O/pLWYGr
    -----END X509 CERTIFICATE-----
  3. Envíe el certificado a la otra parte.

    Elija una de las siguientes opciones:

  4. En el sistema, edite el archivo /etc/inet/ike/config para reconocer los certificados.

    Elija una de las siguientes opciones.

    • Certificado autofirmado

      Utilice los valores que proporciona el administrador del sistema remoto para los parámetros cert_trust, remote_id y remote_addr . Por ejemplo, en el sistema enigma, el archivo ike/config sería similar a:

      # Explicitly trust the following self-signed certs
      # Use the Subject Alternate Name to identify the cert
      
      cert_trust "192.168.116.16"  Local system's certificate Subject Alt Name
      cert_trust "192.168.13.213"  Remote system's certificate Subject Alt name
      
      …
      {
       label "JA-enigma to US-partym"
       local_id_type dn
       local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
       remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
      
       local_addr  192.168.116.16
       remote_addr 192.168.13.213
      
       p1_xform
        {auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes}
      }
    • Solicitud de certificado

      Escriba el nombre que la CA proporciona como valor de la palabra clave cert_root. Por ejemplo, el archivo ike/config en el sistema enigma podría ser similar a:

      # Trusted root cert
      # This certificate is from Example CA
      # This is the X.509 distinguished name for the CA that it issues.
      
      cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example, CN=Example CA"
      
      …
      {
       label "JA-enigma to US-partym - Example CA"
       local_id_type dn
       local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
       remote_id  "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
      
       local_addr  192.168.116.16
       remote_addr 192.168.13.213
      
       p1_xform
        {auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes}
      }
  5. Coloque los certificados de la otra parte en el hardware.

    Responda a la solicitud de PIN del mismo modo que en el Step 4.


    Notas -  Debe agregar los certificados de clave pública al mismo hardware conectado que generó la clave privada.
    • Certificado autofirmado.

      Agregue el certificado autofirmado al sistema remoto. En este ejemplo, el certificado se guarda en el archivo, DCA.ACCEL.STOR.CERT.

      # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT
      Enter PIN for PKCS#11 token: Type user:password

      Si el certificado autofirmado utilizó rsa_encrypt como valor para el parámetro auth_method, agregue el certificado del equivalente al hardware.

    • Certificados de una CA.

      Agregue el certificado generó la CA a partir de la solicitud de certificado y agregue el certificado de la organización.

      Es posible que también deba agregar los certificados intermedios.

      # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT
      Enter PIN for PKCS#11 token: Type user:password
      # ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CA.CERT
      Enter PIN for PKCS#11 token: Type user:password

      Para agregar una lista de revocación de certificados (CRL) de la CA, consulte Cómo administrar certificados revocados en IKEv1.

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.