IKEv1 公钥数据库和命令

语言：

ikecert 命令管理本地系统的公钥/私钥、公共证书和静态 CRL 数据库。在 IKEv1 配置文件需要公钥证书时，可以使用此命令。由于 IKEv1 使用这些数据库验证阶段 1 交换，因此必须在激活 in.iked 守护进程之前填充这些数据库。以下三个子命令可分别处理三种数据库的其中一种：certlocal、certdb 和 certrldb。

如果系统连接了一个 Sun Crypto Accelerator 6000 板，ikecert 命令会使用 PKCS #11 库访问硬件密钥和证书存储。

有关更多信息，请参见 ikecert(1M) 手册页。有关 metaslot 以及 softtoken 密钥库的信息，请参见 cryptoadm(1M) 手册页。

IKEv1 `ikecert tokens` 命令

tokens 参数会列出可用的令牌 ID。使用令牌 ID 时，ikecert certlocal 和 ikecert certdb 命令可以生成公钥证书和 CSR。这些密钥和证书也可以存储在连接的 Sun Crypto Accelerator 6000 板上。ikecert 命令使用 PKCS #11 库访问硬件密钥库。

IKEv1 `ikecert certlocal` 命令

certlocal 子命令管理私钥数据库。使用此子命令的选项，可以添加、查看和删除私钥。此子命令还用于创建自签名的证书或 CSR。–ks 选项用于创建自签名的证书。–kc 选项会创建 CSR。密钥存储在系统的 /etc/inet/secret/ike.privatekeys 目录中，或者通过 –T 选项存储在连接的硬件上。

创建私钥时，ikecert certlocal 命令的选项必须在 ike/config 文件中具有相关项。ikecert 选项和 ike/config 项之间的对应关系如下表所示。

表 12-3 IKEv1 中的 ikecert 选项和 ike/config 项之间的对应关系

`ikecert` 选项	`ike/config` 项	说明
`–A` `subject-alternate-name`	`cert_trust` `subject-alternate-name`	唯一标识证书的别名。可能的值是 IP 地址、电子邮件地址或域名。
`–D` `X.509-distinguished-name`	`X.509-distinguished-name`	证书颁发机构的完整名称，包括国家/地区 (C)、组织名称 (ON)、组织单元 (OU) 和公用名称 (CN)。
`–t dsa-sha1` `\| dsa-sha256`	`auth_method dsa_sig`	一种速度比 RSA 稍慢的验证方法。
`–t rsa-md5` 和 `–t rsa-sha1` `\| rsa-sha256 \| rsa-sha384 \| rsa-sha512`	`auth_method rsa_sig`	一种速度比 DSA 稍快的验证方法。 RSA 公钥必须大到足以加密最大的 payload（有效负荷）。通常，标识有效负荷（如 X.509 标识名）是最大的有效负荷。
`–t rsa-md5` 和 `–t rsa-sha1` `\| rsa-sha256 \| rsa-sha384 \| rsa-sha512`	`auth_method rsa_encrypt`	RSA 加密可防止窃听者知道 IKE 中的身份，但是要求 IKE 对等方知道彼此的公钥。

如果使用 ikecert certlocal -kc 命令发出 CSR，则会将该命令的输出发送到证书颁发机构 (certificate authority, CA)。如果您的公司运行自己的公钥基础结构 (public key infrastructure, PKI)，则会将输出发送给 PKI 管理员。接下来，CA 或 PKI 管理员会创建证书。返回给您的证书是 certdb 子命令的输入。CA 返回给您的证书撤销列表 (Certificate Revocation List, CRL) 是 certrldb 子命令的输入。

IKEv1 `ikecert certdb` 命令

certdb 子命令管理公钥数据库。使用此子命令的选项，可以添加、查看以及删除证书和公钥。该命令将 ikecert certlocal -ks 命令在远程系统上生成的证书作为输入接受。有关过程，请参见如何使用自签名公钥证书配置 IKEv1。此命令还将您从 CA 接收的证书接受为输入。有关过程，请参见如何使用 CA 签名的证书配置 IKEv1。

证书和公钥存储在系统的 /etc/inet/ike/publickeys 目录中。–T 选项在连接的硬件上存储证书、私钥和公钥。

IKEv1 `ikecert certrldb` 命令

certrldb 子命令会管理证书撤销列表 (Certificate Revocation List, CRL) 数据库 /etc/inet/ike/crls。CRL 数据库维护公钥的撤销列表。不再有效的证书包含在此列表中。当 CA 为您提供 CRL 时，您可以使用 ikecert certrldb 命令在 CRL 数据库中安装 CRL。有关过程，请参见如何在 IKEv1 中处理已撤销的证书。

IKEv1 `/etc/inet/ike/publickeys` 目录

/etc/inet/ike/publickeys 目录将公钥/私钥对的公钥部分及其证书包含在文件或插槽中。按 0755 保护该目录。ikecert certdb 命令填充该目录。–T 选项将密钥存储在 Sun Crypto Accelerator 6000 板上，而不是存储在 publickeys 目录中。

这些插槽以编码的格式包含在另一个系统上生成的证书的 X.509 标识名。如果使用自签名的证书，则将从远程系统管理员处接收的证书用作该命令的输入。如果使用来自 CA 的证书，则将两个签名证书从 CA 安装到此数据库中。将安装一个基于发送到 CA 的 CSR 的证书。也安装 CA 的证书。

IKEv1 `/etc/inet/secret/ike.privatekeys` 目录

/etc/inet/secret/ike.privatekeys 目录中存储属于公钥/私钥对一部分的私钥文件。按 0700 保护该目录。ikecert certlocal 命令填充 ike.privatekeys 目录。在安装其对应公钥、自签名的证书或 CA 后，私钥才生效。对应公钥存储在 /etc/inet/ike/publickeys 目录中，或存储在支持的硬件上。

IKEv1 `/etc/inet/ike/crls` 目录

/etc/inet/ike/crls 目录包含证书撤销列表 (Certificate Revocation List, CRL) 文件。每个文件都对应于 /etc/inet/ike/publickeys 目录中的公共证书文件。CA 为其证书提供 CRL。可以使用 ikecert certrldb 命令填充数据库。