在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

初始化密钥库以存储 IKEv2 的公钥证书

要将公共证书与 IKEv2 配合使用,必须创建一个 PKCS #11 密钥库。最常用的密钥库使用由 Oracle Solaris 的加密框架功能提供的 pkcs11_softtoken

IKEv2 的 pkcs11_softtoken 密钥库位于归特殊用户 ikeuser 所有的目录中。缺省目录为 /var/user/ikeuser。用户 ID ikeuser 随系统一起提供,但必须创建密钥库。创建密钥库时,请为密钥库创建 PIN。IKEv2 服务需要使用此 PIN 登录到密钥库。

pkcs11_softtoken 密钥库会存储 IKEv2 使用的私钥、公钥和公共证书。这些密钥和证书通过 ikev2cert 命令管理,此命令是 pktool 命令的包装器。此包装器可确保所有密钥和证书操作应用于归 ikeuser 所有的 pkcs11_softtoken 密钥库。

如果未将 PIN 添加为 ikev2 服务的属性值,/var/log/ikev2/in.ikev2d.log 文件中将显示以下消息:

date: (n)  No PKCS#11 token "pin" property defined 
for the smf(5) service: ike:ikev2

如果未使用公钥证书,可以忽略此消息。