Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
Para ver una descripción de los argumentos del comando, consulte el Step 1 in Cómo configurar IKEv1 con certificados de claves públicas autofirmados.
# ikecert certlocal -kc -m keysize -t keytype \ -D dname -A altname
# ikecert certlocal -kc -m 2048 -t rsa-sha384 \ > -D "C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" \ > -A "DN=C=US, O=PartyCompany\, Inc., OU=US-Partym" Creating software private keys. Writing private key to file /etc/inet/secret/ike.privatekeys/2. Enabling external key providers - done. Certificate Request: Proceeding with the signing operation. Certificate request generated successfully (…/publickeys/0) Finished successfully. -----BEGIN CERTIFICATE REQUEST----- MIIByjCCATMCAQAwUzELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFEV4YW1wbGVDb21w … lcM+tw0ThRrfuJX9t/Qa1R/KxRlMA3zckO80mO9X -----END CERTIFICATE REQUEST-----
# ikecert certlocal -kc -m 2048 -t rsa-sha384 \ > -D "C=JA, O=EnigmaCo\, Inc., OU=JA-Enigmax, CN=Enigmax" \ > -A "DN=C=JA, O=EnigmaCo\, Inc., OU=JA-Enigmax" Creating software private keys. … Finished successfully. -----BEGIN CERTIFICATE REQUEST----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu … 8qlqdjaStLGfhDOO -----END CERTIFICATE REQUEST-----
La CA puede indicarle cómo enviar la CSR. La mayoría de las organizaciones cuenta con un sitio web con un formulario de envío. El formulario requiere una prueba de que el envío es legítimo. Normalmente, la CSR se pega en el formulario. Cuando la organización ha comprobado la solicitud, la organización emite los certificados firmados. Para obtener información, consulte Uso de certificados de claves públicas en IKE.
La opción –a de ikecert certdb -a agrega el objeto pegado a la base de datos de certificados pertinente del sistema. Para más información, consulte IKE con certificados de claves públicas.
Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 . Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
# ikecert certdb -a < /tmp/PKIcert.eml
Es posible que también deba agregar los certificados intermedios.
# ikecert certdb -a < /tmp/PKIca.eml
# ikecert certrldb -a Press the Return key Paste the CRL -----BEGIN CRL----- … -----END CRL---- Press the Return key Press Control-D
Utilice el nombre distintivo (DN) del certificado de la CA.
# Trusted root cert # This certificate is from Example CA # This is the X.509 distinguished name for the CA's cert cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example, CN=Example CA" ## Parameters that may also show up in rules. p1_xform { auth_method rsa_sig oakley_group 1 auth_alg sha384 encr_alg aes} p2_pfs 2 { label "US-partym to JA-enigma - Example CA" local_id_type dn local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes} }
En concreto, el archivo enigma ike/config realice lo siguiente:
Incluirá el mismo valor de cert_root.
Utilizará los valores de enigma para los parámetros locales.
Utilice los valores de partym para los parámetros remotos.
Cree un valor único para la palabra clave label. Este valor debe ser diferente del valor label del sistema remoto.
… cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example, CN=Example CA" … { label "JA-enigma to US-partym - Example CA" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 …
Elija la opción adecuada:
Si el certificado de clave pública proporciona una URI para acceder al servidor de OCSP pero el sistema no se puede conectar a Internet, agregue la palabra clave ignore_ocsp al archivo ike/config.
# Trusted root cert … cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example,… ignore_ocsp …
La palabra clave ignore_ocsp indica a IKEv1 que asuma que el certificado es válido.
Si la CA no proporciona un origen confiable para la CRL o si el sistema no se puede conectar a Internet para recuperar CRL, agregue la palabra clave ignore_crls al archivo ike/config.
# Trusted root cert … cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example,… ignore_crls …
Si la CA proporciona un punto de distribución central para los certificados revocados, puede modificar el archivo ike/config para utilizar el URI.
Consulte Cómo administrar certificados revocados en IKEv1 para ver ejemplos.
Cuando utiliza auth_method rsa_encrypt en el archivo ike/config, debe agregar el certificado del par a la base de datos publickeys.
Envíe el certificado al administrador del sistema remoto.
El certificado se puede pegar en un mensaje de correo electrónico.
Por ejemplo, el administrador de partym podría enviar el siguiente mensaje:
To: admin@enigma.ja.example.com From: admin@party.us.example.com Message: -----BEGIN X509 CERTIFICATE----- MII… ----END X509 CERTIFICATE-----
El administrador de enigma podría enviar el siguiente mensaje:
To: admin@party.us.example.com From: admin@enigma.ja.example.com Message: -----BEGIN X509 CERTIFICATE----- MII … -----END X509 CERTIFICATE-----
En cada sistema, agregue el certificado enviado por correo electrónico a la base de datos publickeys local.
# ikecert certdb -a < /tmp/saved.cert.eml
El método de autenticación para el cifrado de RSA oculta las identidades de IKE de los intrusos. Dado que el método rsa_encrypt oculta la identidad del par, IKEv1 no puede recuperar el certificado del par. Como consecuencia de ello, el método rsa_encrypt requiere que los pares de IKEv1 conozcan las claves públicas el uno del otro.
Por tanto, si utiliza un auth_method de rsa_encrypt en el archivo /etc/inet/ike/config, debe agregar el certificado del par a la base de datos publickeys. La base de datos publickeys incluye al menos tres certificados para cada par de sistemas que se comunican:
Su certificado de clave pública
La cadena de certificados de la CA
El certificado de clave pública del par
Resolución de problemas: la carga útil de IKEv1, que incluye al menos tres certificados, puede ser demasiado grande para que rsa_encrypt la cifre. Errores como un fallo de autenticación o una carga útil mal formada pueden indicar que el método rsa_encrypt no puede cifrar la carga útil total. Reduzca el tamaño de la carga útil utilizando un método que requiera únicamente dos certificados, por ejemplo rsa_sig.
Pasos siguientes
Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.