多くの通信システムを保護する組織は、通常、認証局 (CA) による公開証明書を使用します。背景情報については、IKE と公開鍵証明書を参照してください。
CA の証明書を使用するすべての IKE システムでこの手順を実行します。
始める前に
証明書を使用するには、IKEv2 公開鍵証明書用キーストアを作成および使用する方法を完了している必要があります。
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、セキュアなリモートログイン手順について、使用例 27およびOracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell を使用して ZFS をリモートで管理する方法を参照してください。
次のエラーメッセージは、CSR ファイルをディスクに書き込めないことを示している場合があります。
Warning: error accessing "CSR-file"
たとえば、/tmp ディレクトリを使用します。
# cd /tmp
ikev2cert gencsr コマンドを使用して、証明書署名要求 (CSR) を作成します。このコマンドの引数については、pktool(1) のマニュアルページで pktool gencsr keystore=pkcs11 サブコマンドを確認してください。
たとえば、次のコマンドは host2 システム上に CSR を含むファイルを作成します。
# pfbash # /usr/sbin/ikev2cert gencsr \ keytype=rsa keylen=2048 label=Example2m \ outcsr=/tmp/Example2mcsr1 \ subject="C=US, O=Example2Co\, Inc., OU=US-Example1m, CN=Example1m" Enter PIN for Sun Software PKCS#11 softtoken: xxxxxxxx
# cat /tmp/Example2mcsr1 -----BEGIN CERTIFICATE REQUEST----- MIICkDCCAXoCAQAwTzELMAkGA1UEBhMCVVMxGzAZBgNVBAoTElBhcnR5Q29tcGFu eSwgSW5jLjESMBAGA1UECxMJVVMtUGFydHltMQ8wDQYDVQQDEwZQYXJ0eW0wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCMbINmgZ4XWUv2q1fshZUN/SLb WNLXZxdKwt5e71o0owjyby69eL7HE0QBUij73nTkXE3n4gxojBZE+hvJ6GOCbREA jgSquP2US7Bn9XEcXRrsOc7MCFPrsA+hVIcNHpKNseUOU/rg+wzoo5hA1ixtWuXH bYDeEWQi5tlZgDZoCWGrdHEjwVyHfvz+a0WBjyZBYOueBhXaa68QqSOSnRVDX56Q 3p4H/AR4h0dcSja72XmMKPU5p3RVb8n/hrfKjiDjiGYXD4D+WZxQ65xxCcnALvVH nZHUlAtP7QHX4RXlQVNNwEsY6C95RX9297rNWLsYvp/86xWrQkTlNqVAeUKhAgMB AAEwCwYJKoZIhvcNAQEFA4IBAQB3R6rmZdqcgN8Tomyjp2CFTdyAWixkIATXpLM1 GL5ghrnDvadD61M+vS1yhFlIcSNM8fLRrCHIKtAmB8ITnggJ//rzbHq3jdla/iQt kgGoTXfz8j6B57Ud6l+MBLiBSBy0QK4GIg8Ojlb9Kk5HsZ48mIoI/Qb7FFW4p9dB JEUn0eYhkaGtwJ21YNNvKgOeOcnSZy+xP9Wa9WpfdsBO4TicLDw0Yq7koNnfL0IB Fj2bt/wI7iZ1DcpwphsiwnW9K9YynAJZzHd1ULVpn5Kd7vSRz9youLLzSb+9ilgO E43DW0hRk6P/Uq0N4e1Zca4otezNxyEqlPZI7pJ5uOo0sbiw -----END CERTIFICATE REQUEST-----
CA から CSR の送信方法を指示されることがあります。ほとんどの機関は、Web サイトに送信フォームを掲載しています。フォームの記入に当たっては、その送信が正当なものであることを証明する必要があります。通常は、CSR をフォームに貼り付けます。
ikev2cert import は証明書をキーストアにインポートします。
# ikev2cert import objtype=cert label=Example1m1 infile=/tmp/Example1m1Cert
# ikev2cert import objtype=cert infile=/tmp/Example1m1CAcert
CA が各中間証明書を個別のファイルで送信してきた場合は、前述の証明書をインポートしたようにそれらをインポートします。ただし、CA が証明書チェーンを PKCS#7 ファイルとして送信している場合は、個々の証明書をそのファイルから抽出したあと、前述の証明書をインポートしたように各証明書をインポートする必要があります。
# openssl pkcs7 -in pkcs7-file -print_certs # ikev2cert import objtype=cert label=Example1m1 infile=individual-cert
証明書に CRL または OCSP のセクションが含まれている場合、サイト要件に従って証明書検証ポリシーを構成する必要があります。手順については、IKEv2 で証明書検証ポリシーを設定する方法を参照してください。
ピアシステムには、ルート証明書および構成済みの ikev2.config ファイルが必要です。
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。