如何使用 CA 签名的证书配置 IKEv2

保护大量通信系统的组织通常使用证书颁发机构 (certificate authority, CA) 颁发的公共证书。有关背景信息，请参见IKE，使用公钥证书。

请在所有使用 CA 颁发的证书的 IKE 系统上执行此过程。

开始之前

要使用证书，必须完成如何为 IKEv2 公钥证书创建并使用密钥库。

您必须成为分配有 "Network IPsec Management"（网络 IPsec 管理）权限配置文件的管理员。您必须在配置文件 shell 中键入信息。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

如果执行远程管理，请参见Example 7–1 和在 Oracle Solaris 11.2 中管理安全 Shell 访问 中的如何使用安全 Shell 远程管理 ZFS，了解进行安全远程登录的说明。

1. 转到可写入目录。

   以下错误消息可能表明 CSR 文件无法写入磁盘：

   Warning: error accessing "CSR-file"

   例如，使用 /tmp 目录。

   # cd /tmp

2. 创建证书签名请求。

   使用 ikev2cert gencsr 命令创建证书签名请求 (certificate signing request, CSR)。有关该命令参数的说明，请查看 pktool(1) 手册页中的 pktool gencsr keystore=pkcs11 子命令。

   例如，以下命令会在 partym 系统上创建一个包含 CSR 的文件：

   # pfbash
   # /usr/sbin/ikev2cert gencsr \
   keytype=rsa
   keylen=2048
   label=Partym1 \
   outcsr=/tmp/Partymcsr1 \
   subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym"
   Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx

3. (u53ef选) 复制 CSR 的内容并粘贴到 CA 的 Web 表单中。

   # cat /tmp/Partymcsr1
   -----BEGIN CERTIFICATE REQUEST-----
   MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu
   eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi
   MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb
   WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA
   jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH
   bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q
   3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH
   nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB
   AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1
   GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt
   kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB
   JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB
   Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO
   E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw
   -----END CERTIFICATE REQUEST-----
   

4. 将 CSR 提交给 certificate authority, CA（证书颁发机构）。

   CA 可能会告诉您如何提交 CSR。大多数组织具有包含提交表单的 Web 站点。该表单要求证明提交是合法的。通常，您需要将 CSR 粘贴到表单中。

   ---

   提示  -  有些 Web 表单有一个 "Advanced"（高级）按钮，您可以在这里粘贴证书。CSR 以 PKCS#10 格式生成。因此，查找 Web 表单中提到 PKCS#10 的部分。

   ---

5. 将您从 CA 收到的每个证书导入密钥库。

   ikev2cert import 会将证书导入密钥库。

   1. 导入从 CA 收到的公钥和证书。

      # ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert

      ---

      提示  -  为方便管理，向导入的证书分配相同的标签作为原始 CSR 的标签。

      ---

   2. 导入来自 CA 的根证书。

      # ikev2cert import objtype=cert infile=/tmp/Partym1CAcert

   3. 将任何中间 CA 证书导入密钥库。

      ---

      提示  -  为方便管理，向导入的中间证书分配相同的标签作为原始 CSR 的标签。

      ---

      如果 CA 为每个中间证书发送了单独的文件，则在导入前述证书时导入它们。然而，如果 CA 通过一个 PKCS#7 文件提供其证书链，则必须从此文件提取各个证书，然后在导入前述证书时导入每个证书：

      ---

      注 -  您必须承担 root 角色才能运行 openssl 命令。请参见 openssl(5) 手册页。

      ---

      # openssl pkcs7 -in pkcs7-file -print_certs
      # ikev2cert import objtype=cert label=Partym1 infile=individual-cert

6. 设置证书验证策略。

   如果证书包含适用于 CRL 或 OCSP 的部分，则必须根据站点要求配置证书验证策略。有关说明，请参见如何在 IKEv2 中设置证书验证策略。

7. 在所有使用您的证书的 IKE 系统上完成此过程后，再在所有系统上启用 ikev2 服务。

   对等方系统需要使用 trust anchor（信任锚）证书和已配置的 ikev2.config 文件。

接下来的步骤

如果建立 IPsec 策略未完成，请返回到 IPsec 过程以启用或刷新 IPsec 策略。有关保护 VPN 的 IPsec 策略的示例，请参见使用 IPsec 保护 VPN。有关 IPsec 策略的其他示例，请参见如何使用 IPsec 保护两台服务器之间的网络通信。