IKEv2 の公開鍵証明書を格納するためのキーストアの初期化

IKEv2 で公開証明書を使用するには、PKCS #11 キーストアを作成する必要があります。もっとも一般的に使用されるキーストアは、Oracle Solaris の暗号化フレームワーク機能が提供する pkcs11_softtoken を使用します。

IKEv2 の pkcs11_softtoken キーストアは、特殊なユーザー ikeuser が所有するディレクトリにあります。デフォルトのディレクトリは /var/user/ikeuser です。ユーザー ID ikeuser はシステムに用意されていますが、キーストアは自分で作成する必要があります。キーストアを作成する場合は、キーストアの PIN を作成します。IKEv2 サービスがキーストアにログインするにはこの PIN が必要です。

pkcs11_softtoken キーストアは、IKEv2 で使用される非公開鍵、公開鍵、および公開証明書を保持しています。これらの鍵および証明書は、pktool コマンドのラッパーである ikev2cert コマンドで管理されます。このラッパーは、ikeuser が所有する pkcs11_softtoken キーストアにすべての鍵および証明書の操作が適用されるようにします。

PIN を ikev2 サービスのプロパティー値として追加していない場合は、/var/log/ikev2/in.ikev2d.log ファイルに次のメッセージが表示されます。

date: (n)  No PKCS#11 token "pin" property defined 
for the smf(5) service: ike:ikev2

公開鍵証明書を使用していない場合は、このメッセージを無視してかまいません。

IKEv2 公開鍵証明書用キーストアを作成および使用する方法

IKEv2 で公開証明書を使用する予定がある場合は、キーストアを作成する必要があります。キーストアを使用するには、ログインする必要があります。in.ikev2d デーモンが起動したら、ユーザーまたは自動プロセスがデーモンに PIN を提供します。サイトのセキュリティーで自動ログインを許可している場合は、それを構成する必要があります。デフォルトはキーストアを使用するための対話型ログインです。

始める前に

Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

1. IKEv2 キーストアに PIN を設定します。

   ikev2cert setpin コマンドを使用して IKEv2 キーストアを作成します。このコマンドは、PKCS #11 キーストアの所有者を ikeuser に設定します。

   PIN に空白を使用しないでください。たとえば、WhatShouldIWrite は有効ですが、「What Should」は有効ではありません。

   %  pfbash
   # /usr/sbin/ikev2cert setpin
   Enter token passphrase: changeme
   Create new passphrase: Type strong passphrase
   Re-enter new passphrase: xxxxxxxx
   Passphrase changed.

   ---

   注意  -  このパスフレーズを安全な場所に保管してください。キーストアを使用するにはそれが必要です。

   ---

2. 自動的に、または対話形式でキーストアにログインします。

   自動ログインが推奨されます。サイトのセキュリティーポリシーが自動ログインを許可していない場合は、in.ikev2d デーモンを再起動する際に対話形式でキーストアにログインする必要があります。

   • 自動ログインを有効にするようにキーストアを構成します。
     1. PIN を pkcs11_softtoken/pin サービスプロパティーの値として追加します。

        # svccfg -s ike:ikev2 editprop

        一時編集ウィンドウが開きます。

     2. setprop pkcs11_token/pin = 行のコメントを解除します。

        # setprop pkcs11_token/pin = astring: () Original entry
        setprop pkcs11_token/pin = astring: () Uncommented entry

     3. 括弧をStep 1の PIN に置き換えます。

        setprop pkcs11_token/pin = astring: PIN-from-Step-1

        コロンと PIN の間にスペースを残します。

     4. ファイル最下部の refresh 行のコメントを解除して、変更を保存します。

        # refresh
        refresh

     5. (オプション) pkcs11_token/pin プロパティーの値を検証します。

        pkcs11_token/pin プロパティーは、ikeuser 所有のキーストアにアクセスするときに確認される値を保持します。

        # svccfg -s ike:ikev2 listprop pkcs11_token/pin
        pkcs11_token/pin     astring  PIN

   • 自動キーストアログインが構成されていない場合は、キーストアに手動でログインします。

     in.ikev2d デーモンが起動するたびにこのコマンドを実行します。

     # pfbash
     # ikeadm -v2 token login "Sun Metaslot"
     Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1
     ikeadm: PKCS#11 operation successful

3. (オプション) キーストアに PIN が設定されていることを確認します。

   # ikev2cert tokens
   Flags: L=Login required  I=Initialized  X=User PIN expired  S=SO PIN expired
   Slot ID     Slot Name                   Token Name                        Flags 
   -------     ---------                   ----------                        ----- 
   1           Sun Crypto Softtoken        Sun Software PKCS#11 softtoken    LI    

   Flags 列の LI は、PIN が設定されていることを示します。

4. pkcs11_softtoken を手動でログアウトするには、ikeadm コマンドを使用します。

   # ikeadm -v2 token logout "Sun Metaslot"
   ikeadm: PKCS#11 operation successful

   2 つのサイト間の通信を一定の時間に制限するためにログアウトする場合があります。ログアウトによって秘密鍵が使用できなくなるため、新しい IKEv2 セッションを開始できません。既存の IKEv2 セッションは、ikeadm delete ikesa コマンドでセッション鍵を削除しないかぎり続きます。事前共有鍵ルールは引き続き機能します。ikeadm(1M) のマニュアルページを参照してください。