使用公钥证书配置 IKEv2
公共证书对于大型部署是一个不错的选择。有关更多信息,请参见IKE,使用公钥证书。
公钥证书由加密框架存储在 softtoken 密钥库中。在连接了硬件的系统上,也可以在硬件中生成和存储证书。有关过程,请参见如何在硬件中为 IKEv2 生成和存储公钥证书。
有关背景信息,请参见IKE 的工作原理。
以下任务列表列出了为 IKEv2 创建公钥证书的过程。如果系统连接了 Sun Crypto Accelerator 6000 板,这些过程会包括如何在硬件密钥库中存储证书的内容。
表 9-1 使用公钥证书任务列表配置 IKEv2
|
|
|
为证书创建密钥库。
|
初始化用来存储 IKEv2 证书的 PKCS #11 密钥库。
|
|
使用自签名公钥证书配置 IKEv2。
|
创建一个由您签名的公钥证书。将证书导出至对等方,并导入对等方的证书。
|
|
使用 CA 颁发的证书配置 IKEv2。
|
需要您创建一个 CSR,然后将所有返回的证书导入到密钥库。然后,验证并导入 IKE 对等方的证书。
|
|
配置处理已撤销证书的方式。
|
确定是否使用 CRL 以及是否轮询 OCSP 服务器,包括如何处理网络延迟。
|
|
执行配置,将证书存储在连接的硬件的密钥库中。
|
找到 Sun Crypto Accelerator 6000 板,将 IKEv2 配置为使用此板。
|
|
|