IKEv2 で公開証明書を使用するには、PKCS #11 キーストアを作成する必要があります。もっとも一般的に使用されるキーストアは、Oracle Solaris の暗号化フレームワーク機能が提供する pkcs11_softtoken を使用します。
IKEv2 の pkcs11_softtoken キーストアは、特殊なユーザー ikeuser が所有するディレクトリにあります。デフォルトのディレクトリは /var/user/ikeuser です。ユーザー ID ikeuser はシステムに用意されていますが、キーストアは自分で作成する必要があります。キーストアを作成する場合は、キーストアの PIN を作成します。IKEv2 サービスがキーストアにログインするにはこの PIN が必要です。
pkcs11_softtoken キーストアは、IKEv2 で使用される非公開鍵、公開鍵、および公開証明書を保持しています。これらの鍵および証明書は、pktool コマンドのラッパーである ikev2cert コマンドで管理されます。このラッパーは、ikeuser が所有する pkcs11_softtoken キーストアにすべての鍵および証明書の操作が適用されるようにします。
PIN を ikev2 サービスのプロパティー値として追加していない場合は、/var/log/ikev2/in.ikev2d.log ファイルに次のメッセージが表示されます。
date: (n) No PKCS#11 token "pin" property defined for the smf(5) service: ike:ikev2
公開鍵証明書を使用していない場合は、このメッセージを無視してかまいません。
IKEv2 で公開証明書を使用する予定がある場合は、キーストアを作成する必要があります。キーストアを使用するには、ログインする必要があります。in.ikev2d デーモンが起動したら、ユーザーまたは自動プロセスがデーモンに PIN を提供します。サイトのセキュリティーで自動ログインを許可している場合は、それを構成する必要があります。デフォルトはキーストアを使用するための対話型ログインです。
始める前に
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
ikev2cert setpin コマンドを使用して IKEv2 キーストアを作成します。このコマンドは、PKCS #11 キーストアの所有者を ikeuser に設定します。
PIN に空白を使用しないでください。たとえば、WhatShouldIWrite は有効ですが、「What Should」は有効ではありません。
% pfbash
# /usr/sbin/ikev2cert setpin
Enter token passphrase: changeme
Create new passphrase: Type strong passphrase
Re-enter new passphrase: xxxxxxxx
Passphrase changed.
注意 - このパスフレーズを安全な場所に保管してください。キーストアを使用するにはそれが必要です。 |
自動ログインが推奨されます。サイトのセキュリティーポリシーが自動ログインを許可していない場合は、in.ikev2d デーモンを再起動する際に対話形式でキーストアにログインする必要があります。
# svccfg -s ike:ikev2 editprop
一時編集ウィンドウが開きます。
# setprop pkcs11_token/pin = astring: () Original entry
setprop pkcs11_token/pin = astring: () Uncommented entry
setprop pkcs11_token/pin = astring: PIN-from-Step-1
コロンと PIN の間にスペースを残します。
# refresh refresh
pkcs11_token/pin プロパティーは、ikeuser 所有のキーストアにアクセスするときに確認される値を保持します。
# svccfg -s ike:ikev2 listprop pkcs11_token/pin
pkcs11_token/pin astring PIN
in.ikev2d デーモンが起動するたびにこのコマンドを実行します。
# pfbash
# ikeadm -v2 token login "Sun Metaslot"
Enter PIN for PKCS#11 token 'Sun Metaslot':Type the PIN from Step 1
ikeadm: PKCS#11 operation successful
# ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
Flags 列の LI は、PIN が設定されていることを示します。
# ikeadm -v2 token logout "Sun Metaslot" ikeadm: PKCS#11 operation successful
2 つのサイト間の通信を一定の時間に制限するためにログアウトする場合があります。ログアウトによって秘密鍵が使用できなくなるため、新しい IKEv2 セッションを開始できません。既存の IKEv2 セッションは、ikeadm delete ikesa コマンドでセッション鍵を削除しないかぎり続きます。事前共有鍵ルールは引き続き機能します。ikeadm(1M) のマニュアルページを参照してください。