公開鍵証明書による IKEv2 の構成
公開証明書は大規模な配備に適しています。詳細については、IKE と公開鍵証明書を参照してください。
公開鍵証明書は、暗号化フレームワークによってソフトトークンキーストアに格納されます。ハードウェアが接続されているシステムでは、証明書をハードウェア上で生成および格納することもできます。手順については、ハードウェア上で IKEv2 の公開鍵証明書を生成および格納する方法を参照してください。
背景情報については、IKE の動作を参照してください。
次のタスクマップは、IKEv2 の公開鍵証明書の作成手順を一覧表示したものです。この手順には、システムに Sun Crypto Accelerator 6000 ボードが接続されている場合にハードウェアキーストアに証明書を格納する方法が含まれています。
表 9-1 公開鍵証明書による IKEv2 の構成のタスクマップ
|
|
|
証明書のキーストアを作成します。
|
IKEv2 の証明書を格納する PKCS #11 キーストアを初期化します。
|
|
自己署名付き公開鍵証明書で IKEv2 を構成します。
|
自分で署名した公開鍵証明書を作成します。証明書をピアにエクスポートし、ピアの証明書をインポートします。
|
|
CA の証明書で IKEv2 を構成します。
|
CSR を作成して、返されたすべての証明書をキーストアにインポートする必要があります。その後、IKE ピアの証明書を検証してインポートします。
|
|
失効した証明書の処理方法を構成します。
|
CRL が使用されているか、および OCSP サーバーがポーリングされているか (ネットワーク遅延の処理方法を含む) を確認します。
|
|
接続されたハードウェアのキーストアに証明書のストレージを構成します。
|
Sun Crypto Accelerator 6000 ボードを取り付けて、それを使用するように IKEv2 を構成します。
|
|
|