Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Configuración de IKEv1 con certificados de claves públicas

Los certificados de claves públicas eliminan la necesidad de que los sistemas que se comunican compartan el material de claves secreto fuera de banda. Los certificados públicos de una autoridad de certificación (CA) generalmente requieren negociar con una organización externa. Los certificados se pueden escalar con gran facilidad para proteger un mayor número de sistemas que se comunican.

Los certificados de clave pública también se pueden generar y almacenar en el hardware conectado. Para conocer el procedimiento, consulte Configuración de IKEv1 para encontrar hardware conectado.

Todos los certificados tienen un nombre exclusivo en la forma de X.509 nombre distintivo (DN). Además, un certificado puede tener uno o varios nombres alternativos, como una dirección de correo electrónico, un nombre DNS, una dirección IP, etc. Puede identificar el certificado en la configuración de IKEv1 o mediante el DN completo o mediante uno de sus nombres alternativos. El formato de estos nombres alternativos es tag=value, donde el formato del valor corresponde al tipo de etiqueta. Por ejemplo, el formato de la etiqueta email es name@domain.suffix.

El siguiente mapa de tareas muestra una lista de los procedimientos para la creación de certificados de claves públicas para IKEv1. Entre estos procedimientos se incluye cómo acelerar y almacenar los certificados en el hardware conectado.

Tabla 10-1  Mapa de tareas para configuración de IKEv1 con certificados de claves públicas
Tarea
Descripción
Para obtener instrucciones
Configurar IKEv1 con certificados de clave pública autofirmados.
Crea y coloca claves y dos certificados en cada sistema:
  • Un certificado autofirmado y sus claves

  • El certificado de clave pública del sistema par

Configurar IKEv1 con una autoridad de certificación.
Crea una solicitud de firma de certificado y coloca los certificados del CA en cada sistema. Consulte Uso de certificados de claves públicas en IKE.
Configurar certificados de clave pública en el hardware local.
Implica una de estas acciones:
  • Generar un certificado autofirmado en el hardware local y, luego, agregar la clave pública de un sistema remoto al hardware.

  • Generar una solicitud de firma de certificado en el hardware local y, a continuación, agregar los certificados de clave pública de la CA al hardware.

Actualizar la lista de revocación de certificados (CRL) desde la CA.
Accede a la CRL desde un punto de distribución central.

Notas -  Para etiquetar paquetes y negociaciones IKE en un sistema Trusted Extensions, siga los procedimientos de Configuración de IPsec con etiquetas de Configuración y administración de Trusted Extensions .

Los certificados de clave pública se gestionan en la zona global en sistemas Trusted Extensions. Trusted Extensions no cambia la forma en que se gestionan y se almacenan los certificados.