保护大量通信系统的组织通常使用证书颁发机构 (certificate authority, CA) 颁发的公共证书。有关背景信息,请参见IKE,使用公钥证书。
请在所有使用 CA 颁发的证书的 IKE 系统上执行此过程。
开始之前
要使用证书,必须完成如何为 IKEv2 公钥证书创建并使用密钥库。
您必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员。您必须在配置文件 shell 中键入信息。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
如果执行远程管理,请参见Example 7–1 和在 Oracle Solaris 11.2 中管理安全 Shell 访问 中的如何使用安全 Shell 远程管理 ZFS,了解进行安全远程登录的说明。
以下错误消息可能表明 CSR 文件无法写入磁盘:
Warning: error accessing "CSR-file"
例如,使用 /tmp 目录。
# cd /tmp
使用 ikev2cert gencsr 命令创建证书签名请求 (certificate signing request, CSR)。有关该命令参数的说明,请查看 pktool(1) 手册页中的 pktool gencsr keystore=pkcs11 子命令。
例如,以下命令会在 partym 系统上创建一个包含 CSR 的文件:
# pfbash # /usr/sbin/ikev2cert gencsr \ keytype=rsa keylen=2048 label=Partym1 \ outcsr=/tmp/Partymcsr1 \ subject="C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx
# cat /tmp/Partymcsr1 -----BEGIN CERTIFICATE REQUEST----- MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q 3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1 GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw -----END CERTIFICATE REQUEST-----
CA 可能会告诉您如何提交 CSR。大多数组织具有包含提交表单的 Web 站点。该表单要求证明提交是合法的。通常,您需要将 CSR 粘贴到表单中。
ikev2cert import 会将证书导入密钥库。
# ikev2cert import objtype=cert label=Partym1 infile=/tmp/Partym1Cert
# ikev2cert import objtype=cert infile=/tmp/Partym1CAcert
如果 CA 为每个中间证书发送了单独的文件,则在导入前述证书时导入它们。然而,如果 CA 通过一个 PKCS#7 文件提供其证书链,则必须从此文件提取各个证书,然后在导入前述证书时导入每个证书:
# openssl pkcs7 -in pkcs7-file -print_certs # ikev2cert import objtype=cert label=Partym1 infile=individual-cert
如果证书包含适用于 CRL 或 OCSP 的部分,则必须根据站点要求配置证书验证策略。有关说明,请参见如何在 IKEv2 中设置证书验证策略。
对等方系统需要使用 trust anchor(信任锚)证书和已配置的 ikev2.config 文件。
接下来的步骤
如果建立 IPsec 策略未完成,请返回到 IPsec 过程以启用或刷新 IPsec 策略。有关保护 VPN 的 IPsec 策略的示例,请参见使用 IPsec 保护 VPN。有关 IPsec 策略的其他示例,请参见如何使用 IPsec 保护两台服务器之间的网络通信。