ikecert 명령으로는 로컬 시스템의 공개/개인 키, 공개 인증서 및 정적 CRL 데이터베이스를 관리합니다. IKEv1 구성 파일에 공개 키 인증서가 필요한 경우 이 명령을 사용합니다. IKEv1은 이러한 데이터베이스를 사용하여 1단계 교환을 인증하므로 데이터베이스를 채워야만 in.iked 데몬을 활성화할 수 있습니다. 세 가지 하위 명령 certlocal, certdb, certrldb로 각각 세 데이터베이스를 처리합니다.
시스템에 Sun Crypto Accelerator 6000 보드가 연결된 경우 ikecert 명령에서는 PKCS #11 라이브러리를 사용하여 하드웨어 키 및 인증서 저장소에 액세스합니다.
자세한 내용은 ikecert(1M) 매뉴얼 페이지를 참조하십시오. metaslot 및 softtoken 키 저장소에 대한 내용은 cryptoadm(1M) 매뉴얼 페이지를 참조하십시오.
tokens 인수를 지정하면 사용 가능한 토큰 ID가 나열됩니다. ikecert certlocal 및 ikecert certdb 명령에 토큰 ID를 사용하여 공개 키 인증서 및 인증서 요청을 생성할 수 있습니다. 이 키와 인증서도 연결된 Sun Crypto Accelerator 6000 보드에 저장될 수 있습니다. ikecert 명령에서는 PKCS #11 라이브러리를 사용하여 하드웨어 키 저장소에 액세스합니다.
certlocal 하위 명령으로는 개인 키 데이터베이스를 관리합니다. 이 하위 명령의 옵션을 사용하여 개인 키를 추가, 보기, 제거할 수 있습니다. 또한 이 하위 명령은 자체 서명된 인증서 또는 CSR을 만듭니다. –ks 옵션은 자체 서명된 인증서를 만듭니다. –kc 옵션은 CSR을 만듭니다. 키는 시스템의 /etc/inet/secret/ike.privatekeys 디렉토리에 저장되거나, –T 옵션을 사용하여 연결된 하드웨어에 저장됩니다.
개인 키를 만들 때는 ikecert certlocal 명령의 옵션과 관련된 항목이 ike/config 파일에 있어야 합니다. ikecert 옵션과 대응하는 ike/config 항목은 다음 표에 나와 있습니다.
|
ikecert certlocal -kc 명령으로 CSR을 실행하는 경우 명령의 출력을 CA(인증 기관)에 보냅니다. 회사에서 자체의 PKI(공개 키 기반구조)를 실행하는 경우에는 출력을 PKI 관리자에게 보냅니다. 그런 다음 CA 또는 PKI 관리자가 인증서를 만듭니다. 반환되는 인증서는 certdb 하위 명령의 입력입니다. CA가 반환하는 CRL(인증서 해지 목록)은 certrldb 하위 명령의 입력입니다.
certdb 하위 명령으로는 공개 키 데이터베이스를 관리합니다. 이 하위 명령의 옵션을 사용하여 인증서 및 공개 키를 추가, 보기, 제거할 수 있습니다. 이 명령은 원격 시스템에서 ikecert certlocal -ks 명령으로 생성된 인증서를 입력으로 받아들입니다. 절차는 자체 서명된 공개 키 인증서로 IKEv1을 구성하는 방법을 참조하십시오. 또한 이 명령은 CA에서 받은 인증서를 입력으로 받아들입니다. 절차는 CA가 서명한 인증서로 IKEv1을 구성하는 방법을 참조하십시오.
인증서 및 공개 키는 시스템의 /etc/inet/ike/publickeys 디렉토리에 저장됩니다. –T 옵션은 연결된 하드웨어에 인증서, 개인 키, 공개 키를 저장합니다.
certrldb 하위 명령으로는 CRL(인증서 해지 목록) 데이터베이스인 /etc/inet/ike/crls를 관리합니다. CRL 데이터베이스는 공개 키에 대한 해지 목록을 유지 관리합니다. 이 목록에는 더 이상 유효하지 않은 인증서가 있습니다. CA에서 CRL을 제공하는 경우 ikecert certrldb 명령을 사용하여 CRL 데이터베이스에 CRL을 설치할 수 있습니다. 절차는 IKEv1에서 해지된 인증서를 처리하는 방법을 참조하십시오.
/etc/inet/ike/publickeys 디렉토리에는 공개-개인 키 쌍의 공개 부분과 해당 인증서가 파일이나 슬롯으로 포함됩니다. 디렉토리는 0755에서 보호됩니다. ikecert certdb 명령은 디렉토리를 채웁니다. –T 옵션은 publickeys 디렉토리가 아닌 Sun Crypto Accelerator 6000 보드에 키를 저장합니다.
슬롯에는 다른 시스템에서 생성된 인증서의 X.509 고유 이름이 인코딩된 형식으로 포함됩니다. 자체 서명된 인증서를 사용하는 경우 원격 시스템의 관리자로부터 받은 인증서를 명령의 입력으로 사용합니다. CA의 인증서를 사용하는 경우 CA에서 서명한 두 인증서를 이 데이터베이스로 설치합니다. CA에 보낸 CSR에 준하는 인증서를 설치합니다. 또한 CA의 인증서를 설치합니다.
/etc/inet/secret/ike.privatekeys 디렉토리에는 공개-개인 키 쌍의 일부인 개인 키 파일이 저장됩니다. 디렉토리는 0700에서 보호됩니다. ikecert certlocal 명령은 ike.privatekeys 디렉토리를 채웁니다. 대응하는 공개 키, 자체 서명된 인증서 또는 CA를 설치할 때까지 개인 키는 효과가 없습니다. 대응하는 공개 키는 /etc/inet/ike/publickeys 디렉토리 또는 지원되는 하드웨어에 저장됩니다.
/etc/inet/ike/crls 디렉토리에는 CRL(인증서 해지 목록) 파일이 포함됩니다. 각 파일은 /etc/inet/ike/publickeys 디렉토리에 있는 공개 인증서 파일에 해당합니다. CA에서는 자신이 발행한 인증서에 대한 CRL을 제공합니다. ikecert certrldb 명령을 사용하여 데이터베이스를 채울 수 있습니다.