El comando ikecert gestiona las claves públicas/privadas del sistema local, los certificados públicos y las bases de datos de CRL. Este comando se utiliza cuando el archivo de configuración de IKEv1 requiere certificados de claves públicas. Dado que IKEv1 utiliza estas bases de datos para autenticar el intercambio de fase 1, las bases de datos deben rellenarse antes de activar el daemon in.iked. Existen tres subcomandos que administran las tres bases de datos: certlocal, certdb y certrldb.
Si el sistema tiene una placa Sun Crypto Accelerator 6000 conectada, el comando ikecert usa una biblioteca de PKCS #11 para acceder a la clave de hardware y al almacenamiento de certificados.
Para obtener más información, consulte la página del comando man ikecert(1M). Para obtener información sobre la metarranura y el almacén de claves softtoken, consulte la página del comando man cryptoadm(1M).
El argumento tokens enumera los ID de testigo que están disponibles. Los ID de token permiten a los comandos ikecert certlocal e ikecert certdb generar certificados de claves públicas y CSR. Las claves y los certificados también se pueden almacenar en una placa Sun Crypto Accelerator 6000 conectada. El comando ikecert usa la biblioteca de PKCS #11 para acceder al almacén de claves de hardware.
El subcomando certlocal gestiona la base de datos privada. Las opciones de este subcomando permiten agregar, ver y eliminar claves privadas. Este subcomando también crea un certificado autofirmado o una CSR. La opción –ks crea un certificado autofirmado. La opción –kc crea una CSR. Las claves se almacenan en el directorio /etc/inet/secret/ike.privatekeys del sistema o en el hardware conectado con la opción –T.
Cuando crea una clave privada, las opciones del comando ikecert certlocal deben tener entradas relacionadas en el archivo ike/config. La tabla siguiente muestra las correspondencias entre las opciones ikecert y las entradas ike/config.
|
Si emite una CSR con el comando ikecert certlocal -kc, envía la salida del comando a una autoridad de certificación (CA). Si su compañía ejecuta su propia infraestructura de clave pública (PKI), envía la salida al administrador de PKI. La CA o el administrador de PKI crean luego los certificados. Los certificados que se devuelven, se incluyen en el subcomando certdb. La lista de revocación de certificados (CRL) que devuelve la CA se incluye en el subcomando certrldb .
El subcomando certdb gestiona la base de datos de claves públicas. Las opciones de este subcomando permiten agregar, ver y eliminar certificados y claves públicas. El comando acepta como entrada los certificados generados con el comando ikecert certlocal -ks en un sistema remoto. Para obtener instrucciones sobre los procedimientos, consulte Cómo configurar IKEv1 con certificados de claves públicas autofirmados. Este comando también acepta el certificado que recibe de una CA. Para obtener instrucciones sobre los procedimientos, consulte Cómo configurar IKEv1 con certificados firmados por una CA.
Los certificados y las claves públicas se almacenan en el directorio /etc/inet/ike/publickeys. La opción –T almacena los certificados, las claves privadas y las claves públicas del hardware conectado.
El subcomando certrldb gestiona la base de datos de la lista de revocación de certificados (CRL), /etc/inet/ike/crls. La base de datos de CRL mantiene las listas de revocación para las claves públicas. En esta lista se incluyen los certificados que dejan de ser válidos. Cuando las CA proporcionan una CRL, puede instalar la CRL en la base de datos de CRL con el comando ikecert certrldb. Para obtener instrucciones sobre los procedimientos, consulte Cómo administrar certificados revocados en IKEv1.
El directorio /etc/inet/ike/publickeys contiene la parte pública de un par de claves pública-privada y su certificado en los archivos, o ranuras. El directorio se protege en 0755. El comando ikecert certdb rellena el directorio. La opción –T almacena las claves en la placa Sun Crypto Accelerator 6000 en lugar de en el directorio publickeys.
Las ranuras contienen, en modo codificado, el nombre distintivo X.509 de un certificado generado por otro sistema. Si está utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si está utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de ésta en la base de datos. Se instala un certificado que está basado en la CSR que envió a la CA. También se instala un certificado de la entidad certificadora (CA).
El directorio /etc/inet/secret/ike.privatekeys contiene archivos de clave privada que son parte un par de claves pública-privada. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves públicas, certificados autofirmados o autoridades de certificación. Los equivalentes de clave pública se almacenan en el directorio /etc/inet/ike/publickeys o en hardware admitido.
El directorio /etc/inet/ike/crls contiene archivos de lista de revocación de certificados (CRL). Cada archivo corresponde a un archivo de certificado público del directorio /etc/inet/ike/publickeys. Las CA proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.