公開鍵証明書はまた、接続されたハードウェアに格納できます。Sun Crypto Accelerator 6000 ボードによってストレージが提供され、公開鍵の操作をシステムからこのボードにオフロードできます。
ハードウェア上で公開鍵証明書を生成および格納することは、システム上で公開鍵証明書を生成および格納することと似ています。ハードウェアでは、ハードウェアキーストアの識別に ikev2cert gencert token=hw-keystore コマンドが使用されます。
始める前に
この手順では、Sun Crypto Accelerator 6000 ボードがシステムに接続されていると仮定します。また、この手順ではボード用のソフトウェアがインストールされ、ハードウェアキーストアが構成されているものと仮定します。手順については、Sun Crypto Accelerator 6000 ボード製品のライブラリドキュメント (http://docs.oracle.com/cd/E19321-01/index.html)を参照してください。これらの手順にはキーストアの設定が含まれています。
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、セキュアなリモートログイン手順について、使用例 27およびOracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell を使用して ZFS をリモートで管理する方法を参照してください。
# pfbash # ikev2cert tokens Flags: L=Login required I=Initialized X=User PIN expired S=SO PIN expired Slot ID Slot Name Token Name Flags ------- --------- ---------- ----- 1 sca6000 sca6000 LI 2 n2cp/0 Crypto Accel Bulk 1.0 n2cp/0 Crypto Accel Bulk 1.0 3 ncp/0 Crypto Accel Asym 1.0 ncp/0 Crypto Accel Asym 1.0 4 n2rng/0 SUNW_N2_Random_Number_Ge n2rng/0 SUNW_N2_RNG 5 Sun Crypto Softtoken Sun Software PKCS#11 softtoken LI
次のオプションのいずれかを選択します。
# ikev2cert gencert token=sca6000 keytype=rsa \
hash=sha256 keylen=2048 \
subject="CN=FortKnox, C=US" serial=0x6278281232 label=goldrepo
Enter PIN for sca6000: See Step 3
# ikev2cert gencsr token=sca6000 -i
> keytype=
> hash=
> keylen=
> subject=
> serial=
> label=
> outcsr=
Enter PIN for sca6000 token: See Step 3
ikev2cert コマンドの引数については、pktool(1) のマニュアルページを参照してください。
Sun Crypto Accelerator 6000 ボードがユーザー admin、パスワード inThe%4ov で構成されている場合は、次を入力します。
Enter PIN for sca6000 token: admin:inThe%4ov -----BEGIN X509 CERTIFICATE----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu … oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE-----
次のオプションのいずれかを選択します。
証明書は、電子メールのメッセージに貼り付けることもできます。
CA の指示に従って CSR を送信します。詳細な説明は、IKE での公開鍵証明書の使用を参照してください。
CA から受け取った証明書をインポートして、Step 3 のユーザーおよび PIN を指定します。
# ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CERT1 Enter PIN for sca6000 token: Type user:password # ikev2cert import token=sca6000 infile=/tmp/DCA.ACCEL.CA.CERT Enter PIN for sca6000 token: Type user:password
自動ログインが推奨されます。サイトのセキュリティーポリシーが自動ログインを許可していない場合は、in.ikev2d デーモンを再起動する際に対話形式でキーストアにログインする必要があります。
このプロパティーの説明については、IKEv2 サービスを参照してください。
# svccfg -s ike:ikev2 editprop
一時編集ウィンドウが開きます。
# setprop pkcs11_token/uri = () Original entry
setprop pkcs11_token/uri = pkcs11:token=sca6000
# setprop pkcs11_token/pin = () Original entry
setprop pkcs11_token/pin = admin:PIN-from-Step-3
# refresh refresh
# svccfg -s ikev2 listprop pkcs11_token
pkcs11_token/pin astring username:PIN
pkcs11_token/uri astring pkcs11:token=sca6000
in.ikev2d デーモンが起動するたびにこのコマンドを実行します。
# pfexec ikeadm -v2 token login sca6000 Enter PIN for sca6000 token: admin:PIN-from-Step-3 ikeadm: sca6000 operation successful
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。