要将公共证书与 IKEv2 配合使用,必须创建一个 PKCS #11 密钥库。最常用的密钥库使用由 Oracle Solaris 的加密框架功能提供的 pkcs11_softtoken。
IKEv2 的 pkcs11_softtoken 密钥库位于归特殊用户 ikeuser 所有的目录中。缺省目录为 /var/user/ikeuser。用户 ID ikeuser 随系统一起提供,但必须创建密钥库。创建密钥库时,请为密钥库创建 PIN。IKEv2 服务需要使用此 PIN 登录到密钥库。
pkcs11_softtoken 密钥库会存储 IKEv2 使用的私钥、公钥和公共证书。这些密钥和证书通过 ikev2cert 命令管理,此命令是 pktool 命令的包装器。此包装器可确保所有密钥和证书操作应用于归 ikeuser 所有的 pkcs11_softtoken 密钥库。
如果未将 PIN 添加为 ikev2 服务的属性值,/var/log/ikev2/in.ikev2d.log 文件中将显示以下消息:
date: (n) No PKCS#11 token "pin" property defined for the smf(5) service: ike:ikev2
如果未使用公钥证书,可以忽略此消息。