Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Comandos y bases de datos de claves públicas de IKEv1

El comando ikecert gestiona las claves públicas/privadas del sistema local, los certificados públicos y las bases de datos de CRL. Este comando se utiliza cuando el archivo de configuración de IKEv1 requiere certificados de claves públicas. Dado que IKEv1 utiliza estas bases de datos para autenticar el intercambio de fase 1, las bases de datos deben rellenarse antes de activar el daemon in.iked. Existen tres subcomandos que administran las tres bases de datos: certlocal, certdb y certrldb.

Si el sistema tiene una placa Sun Crypto Accelerator 6000 conectada, el comando ikecert usa una biblioteca de PKCS #11 para acceder a la clave de hardware y al almacenamiento de certificados.

Para obtener más información, consulte la página del comando man ikecert(1M). Para obtener información sobre la metarranura y el almacén de claves softtoken, consulte la página del comando man cryptoadm(1M).

Comando IKEv1 ikecert tokens

El argumento tokens enumera los ID de testigo que están disponibles. Los ID de token permiten a los comandos ikecert certlocal e ikecert certdb generar certificados de claves públicas y CSR. Las claves y los certificados también se pueden almacenar en una placa Sun Crypto Accelerator 6000 conectada. El comando ikecert usa la biblioteca de PKCS #11 para acceder al almacén de claves de hardware.

Comando IKEv1 ikecert certlocal

El subcomando certlocal gestiona la base de datos privada. Las opciones de este subcomando permiten agregar, ver y eliminar claves privadas. Este subcomando también crea un certificado autofirmado o una CSR. La opción –ks crea un certificado autofirmado. La opción –kc crea una CSR. Las claves se almacenan en el directorio /etc/inet/secret/ike.privatekeys del sistema o en el hardware conectado con la opción –T.

Cuando crea una clave privada, las opciones del comando ikecert certlocal deben tener entradas relacionadas en el archivo ike/config. La tabla siguiente muestra las correspondencias entre las opciones ikecert y las entradas ike/config.

Tabla 12-3  Correspondencias entre opciones de ikecert y entradas de ike/config en IKEv1
Opción ikecert
Entrada ike/config
Descripción
–A subject-alternate-name
cert_trust subject-alternate-name
Apodo que identifica el certificado de modo exclusivo. Los posibles valores son una dirección IP, una dirección de correo electrónico o un nombre de dominio.
–D X.509-distinguished-name
X.509-distinguished-name
El nombre completo de la autoridad de certificación que incluye el país (C), el nombre de organización (ON), la unidad organizativa (OU) y el nombre común (CN).
–t dsa-sha1 | dsa-sha256
auth_method dsa_sig
Método de autenticación que es ligeramente más lento que RSA.
–t rsa-md5 y
–t rsa-sha1 | rsa-sha256 | rsa-sha384 | rsa-sha512
auth_method rsa_sig
Método de autenticación que es ligeramente más lento que DSA.
La clave pública RSA debe ser lo suficientemente grande para cifrar la carga útil mayor. Normalmente, una carga útil de identidad, como el nombre distinguido X.509, es la mayor carga útil.
–t rsa-md5 y
–t rsa-sha1 | rsa-sha256 | rsa-sha384 | rsa-sha512
auth_method rsa_encrypt
El cifrado de RSA oculta las identidades de IKE de los intrusos, pero requiere que los pares de IKE conozcan las claves públicas de cada uno.

Si emite una CSR con el comando ikecert certlocal -kc, envía la salida del comando a una autoridad de certificación (CA). Si su compañía ejecuta su propia infraestructura de clave pública (PKI), envía la salida al administrador de PKI. La CA o el administrador de PKI crean luego los certificados. Los certificados que se devuelven, se incluyen en el subcomando certdb. La lista de revocación de certificados (CRL) que devuelve la CA se incluye en el subcomando certrldb .

Comando ikecert certdb de IKEv1

El subcomando certdb gestiona la base de datos de claves públicas. Las opciones de este subcomando permiten agregar, ver y eliminar certificados y claves públicas. El comando acepta como entrada los certificados generados con el comando ikecert certlocal -ks en un sistema remoto. Para obtener instrucciones sobre los procedimientos, consulte Cómo configurar IKEv1 con certificados de claves públicas autofirmados. Este comando también acepta el certificado que recibe de una CA. Para obtener instrucciones sobre los procedimientos, consulte Cómo configurar IKEv1 con certificados firmados por una CA.

Los certificados y las claves públicas se almacenan en el directorio /etc/inet/ike/publickeys. La opción –T almacena los certificados, las claves privadas y las claves públicas del hardware conectado.

Comando ikecert certrldb de IKEv1

El subcomando certrldb gestiona la base de datos de la lista de revocación de certificados (CRL), /etc/inet/ike/crls. La base de datos de CRL mantiene las listas de revocación para las claves públicas. En esta lista se incluyen los certificados que dejan de ser válidos. Cuando las CA proporcionan una CRL, puede instalar la CRL en la base de datos de CRL con el comando ikecert certrldb. Para obtener instrucciones sobre los procedimientos, consulte Cómo administrar certificados revocados en IKEv1.

Directorio /etc/inet/ike/publickeys de IKEv1

El directorio /etc/inet/ike/publickeys contiene la parte pública de un par de claves pública-privada y su certificado en los archivos, o ranuras. El directorio se protege en 0755. El comando ikecert certdb rellena el directorio. La opción –T almacena las claves en la placa Sun Crypto Accelerator 6000 en lugar de en el directorio publickeys.

Las ranuras contienen, en modo codificado, el nombre distintivo X.509 de un certificado generado por otro sistema. Si está utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si está utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de ésta en la base de datos. Se instala un certificado que está basado en la CSR que envió a la CA. También se instala un certificado de la entidad certificadora (CA).

Directorio /etc/inet/secret/ike.privatekeys de IKEv1

El directorio /etc/inet/secret/ike.privatekeys contiene archivos de clave privada que son parte un par de claves pública-privada. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves públicas, certificados autofirmados o autoridades de certificación. Los equivalentes de clave pública se almacenan en el directorio /etc/inet/ike/publickeys o en hardware admitido.

Directorio /etc/inet/ike/crls de IKEv1

El directorio /etc/inet/ike/crls contiene archivos de lista de revocación de certificados (CRL). Cada archivo corresponde a un archivo de certificado público del directorio /etc/inet/ike/publickeys. Las CA proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.