IKEv1 公開鍵のデータベースおよびコマンド

ikecert コマンドは、ローカルシステムの公開鍵/非公開鍵、公開証明書、および静的 CRL のデータベースを管理します。このコマンドは、IKEv1 構成ファイルが公開鍵証明書を要求するときに使用します。IKEv1 ではこれらのデータベースを使用してフェーズ 1 交換を認証するため、in.iked デーモンを起動する前に、それらのデータベースに必要な情報が含まれていなければなりません。3 つのサブコマンド certlocal、certdb、および certrldb は、3 つの各データベースを処理します。

システムに Sun Crypto Accelerator 6000 ボードが接続されている場合、ikecert コマンドは PKCS #11 ライブラリを使用してハードウェア鍵と証明書のストレージにアクセスします。

詳細は、ikecert(1M) のマニュアルページを参照してください。メタスロットとソフトトークンキーストアについては、cryptoadm(1M) のマニュアルページを参照してください。

IKEv1 ikecert tokens コマンド

tokens 引数は、使用可能なトークン ID を一覧表示します。トークン ID により、ikecert certlocal コマンドと ikecert certdb コマンドは、公開鍵証明書と CSR を生成できます。鍵および証明書も接続された Sun Crypto Accelerator 6000 ボードに格納できます。ikecert コマンドは、PKCS #11 ライブラリを使用してハードウェアキーストアにアクセスします。

IKEv1 ikecert certlocal コマンド

certlocal サブコマンドは非公開鍵データベースを管理します。このサブコマンドを選択すると、非公開鍵の追加、表示、および削除を行うことができます。このサブコマンドは、自己署名付き証明書または CSR も作成します。–ks オプションを選択すると、自己署名付き証明書が作成されます。–kc オプションは CSR を作成します。鍵はシステムの /etc/inet/secret/ike.privatekeys ディレクトリに格納されるか、–T オプションを指定した場合は、接続されたハードウェアに格納されます。

非公開鍵を作成する場合は、ikecert certlocal コマンドのオプションに関連するエントリが ike/config ファイルに存在しなければなりません。ikecert オプションと ike/config エントリの対応を次の表に示します。

表 12-3  IKEv1 の ikecert オプションと ike/config エントリの対応

ikecert オプション ike/config エントリ 説明 –A subject-alternate-name cert_trust subject-alternate-name 証明書を一意に識別するニックネーム。指定可能な値は IP アドレス、電子メールアドレス、およびドメイン名です。 –D X.509-distinguished-name X.509-distinguished-name 国 (C)、組織名 (ON)、組織単位 (OU)、共通名 (CN) を含む認証局のフルネーム。 –t dsa-sha1 | dsa-sha256 auth_method dsa_sig RSAよりもわずかに遅い認証方式。 –t rsa-md5 および –t rsa-sha1 | rsa-sha256 | rsa-sha384 | rsa-sha512 auth_method rsa_sig DSAよりもわずかに速い認証方式。 RSA 公開鍵は、最大ペイロードを暗号化するのに十分な長さが必要。通常、X.509 識別名などの ID ペイロードが最大ペイロードになります。 –t rsa-md5 および –t rsa-sha1 | rsa-sha256 | rsa-sha384 | rsa-sha512 auth_method rsa_encrypt RSA 暗号化により、IKE にある ID が不正侵入者から保護されますが、IKE ピアには互いの公開鍵の認識が要求されます。

ikecert certlocal -kc コマンドで CSR を発行する場合、コマンドの出力を認証局 (CA) に送信します。会社が独自の公開鍵インフラストラクチャー (PKI) を運用している場合は、PKI の管理者に出力を送信します。その後、CA または PKI の管理者が証明書を作成します。返された証明書は certdb サブコマンドに渡されます。CA から返された証明書失効リスト (CRL) は、certrldb サブコマンドに渡されます。

IKEv1 ikecert certdb コマンド

certdb サブコマンドは、公開鍵データベースを管理します。そのサブコマンドを選択すると、公開鍵と証明書を追加、表示、および削除できます。このコマンドは、リモートシステムで ikecert certlocal -ks コマンドによって生成された証明書を入力として受け入れます。手順については、自己署名付き公開鍵証明書により IKEv1 を構成する方法を参照してください。このコマンドは、CA から受信する証明書も入力として受け入れます。手順については、CA の署名付き証明書で IKEv1 を構成する方法を参照してください。

証明書と公開鍵は、システムの /etc/inet/ike/publickeys ディレクトリに格納されます。–T オプションを指定した場合、証明書、非公開鍵、公開鍵は、システムに接続されたハードウェアに格納されます。

IKEv1 ikecert certrldb コマンド

certrldb サブコマンドは、証明書失効リスト (CRL) データベース /etc/inet/ike/crls を管理します。CRL データベースには、公開鍵の失効リストが保存されています。よって、このリストには、すでに有効でない証明書が明記されます。CA から CRL が提供される場合、その CRL を ikecert certrldb コマンドで CRL データベースにインストールできます。手順については、IKEv1 で失効した証明書を処理する方法を参照してください。

IKEv1 /etc/inet/ike/publickeys ディレクトリ

/etc/inet/ike/publickeys ディレクトリのファイルまたはスロットには、公開鍵と非公開鍵のペアの公開部分とその証明書が含まれています。このディレクトリは 0755 で保護されています。ikecert certdb コマンドを使用して、そのディレクトリを読み込みます。–T オプションは、鍵を publickeys ディレクトリではなく Sun Crypto Accelerator 6000 ボード上に格納します。

スロットには、別のシステムで生成された証明書の X.509 識別名が、エンコードされた形式で含まれます。自己署名付き証明書を使用する場合、そのコマンドへの入力として、リモートシステムの管理者から受信する証明書を使用します。CA からの証明書を使用する場合、CA から受け取る 2 つの署名付き証明書をこのデータベースに格納します。CA に送信した CSR に基づいた証明書をインストールします。また、CA の証明書も格納します。

IKEv1 /etc/inet/secret/ike.privatekeys ディレクトリ

/etc/inet/secret/ike.privatekeys ディレクトリには、公開鍵/非公開鍵ペアの一部である非公開鍵ファイルが格納されています。このディレクトリは 0700 で保護されています。ikecert certlocal コマンドを実行して、ike.privatekeys ディレクトリを読み込みます。非公開鍵は、ペアとなる公開鍵、自己署名付き証明書や CA が格納されてから有効になります。ペアとなる公開鍵は、/etc/inet/ike/publickeys ディレクトリか、サポートされるハードウェアに格納されます。

IKEv1 /etc/inet/ike/crls ディレクトリ

/etc/inet/ike/crls ディレクトリには、証明書失効リスト (CRL) ファイルが含まれています。各ファイルは、/etc/inet/ike/publickeys ディレクトリにある公開証明書ファイルに対応しています。CA は証明書の CRL を提供します。ikecert certrldb コマンドを使用して、そのデータベースを読み込むことができます。