CA の署名付き証明書で IKEv2 を構成する方法

多くの通信システムを保護する組織は、通常、認証局 (CA) による公開証明書を使用します。背景情報については、IKE と公開鍵証明書を参照してください。

CA の証明書を使用するすべての IKE システムでこの手順を実行します。

始める前に

証明書を使用するには、IKEv2 公開鍵証明書用キーストアを作成および使用する方法を完了している必要があります。

Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

リモートで管理する場合は、Example 7–1 およびOracle Solaris 11.2 での Secure Shell アクセスの管理 のSecure Shell を使用して ZFS をリモートで管理する方法でセキュアなリモートログイン手順を確認してください。

1. 書き込み可能なディレクトリに変更します。

   次のエラーメッセージは、CSR ファイルをディスクに書き込めないことを示している場合があります。

   Warning: error accessing "CSR-file"

   たとえば、/tmp ディレクトリを使用します。

   # cd /tmp

2. 証明書署名要求を作成します。

   ikev2cert gencsr コマンドを使用して、証明書署名要求 (CSR) を作成します。このコマンドの引数の説明については、pktool(1) のマニュアルページで pktool gencsr keystore=pkcs11 サブコマンドを確認してください。

   たとえば、次のコマンドは partym システム上に CSR を含むファイルを作成します。

   # pfbash
   # /usr/sbin/ikev2cert gencsr \
   keytype=rsa
   keylen=2048
   label=Partym1 \
   outcsr=/tmp/Partymcsr1 \
   subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym"
   Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx

3. (オプション) CA の Web フォームに貼り付けるために、CSR の内容をコピーします。

   # cat /tmp/Partymcsr1
   -----BEGIN CERTIFICATE REQUEST-----
   MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu
   eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi
   MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb
   WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA
   jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH
   bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q
   3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH
   nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB
   AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1
   GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt
   kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB
   JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB
   Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO
   E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw
   -----END CERTIFICATE REQUEST-----
   

4. CSR を認証局 (CA) に送信します。

   CA から CSR の送信方法を指示されることがあります。ほとんどの機関は、Web サイトに送信フォームを掲載しています。フォームの記入に当たっては、その送信が正当なものであることを証明する必要があります。通常は、CSR をフォームに貼り付けます。

   ---

   ヒント  -  証明書を貼り付けるための拡張ボタンがある Web フォームもあります。CSR は PKCS#10 形式で生成されます。したがって、Web フォームの PKCS#10 と記載された部分を探します。

   ---

5. CA から受け取る各証明書をキーストアにインポートします。

   ikev2cert import は証明書をキーストアにインポートします。

   1. 公開鍵と CA から受信した証明書をインポートします。

      # ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert

      ---

      ヒント  -  管理を容易にするために、インポートした証明書には元の CSR と同じラベルを割り当てます。

      ---

   2. CA からのルート証明書をインポートします。

      # ikev2cert import objtype=cert infile=/tmp/Partym1CAcert

   3. 中間 CA 証明書をキーストアにインポートします。

      ---

      ヒント  -  管理を容易にするために、インポートした中間証明書には元の CSR と同じラベルを割り当てます。

      ---

      CA が各中間証明書を個別のファイルで送信してきた場合は、前述の証明書をインポートしたようにそれらをインポートします。ただし、CA が証明書チェーンを PKCS#7 ファイルとして送信している場合は、個々の証明書をそのファイルから抽出したあと、前述の証明書をインポートしたように各証明書をインポートする必要があります。

      ---

      注 -  openssl コマンドを実行するには、root 役割になる必要があります。openssl(5) のマニュアルページを参照してください。

      ---

      # openssl pkcs7 -in pkcs7-file -print_certs
      # ikev2cert import objtype=cert label=Partym1 infile=individual-cert

6. 証明書検証ポリシーを設定します。

   証明書に CRL または OCSP のセクションが含まれている場合、サイト要件に従って証明書検証ポリシーを構成する必要があります。手順については、IKEv2 で証明書検証ポリシーを設定する方法を参照してください。

7. 証明書を使用するすべての IKE システムで手順を完了したら、すべてのシステムで ikev2 サービスを有効にします。

   ピアシステムには、トラストアンカー証明書および構成済みの ikev2.config ファイルが必要です。

次のステップ

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。