ハードウェア上で公開鍵証明書を生成および格納することは、システム上で公開鍵証明書を生成および格納することと似ています。ハードウェア上では、ikecert certlocal および ikecert certdb コマンドがハードウェアを識別しなければなりません。トークン ID に –T オプションを指定すると、コマンドがハードウェアを識別するようになります。
始める前に
ハードウェアの構成が完了していること。
/etc/inet/ike/config ファイルの pkcs11_path キーワードが別のライブラリを指している場合を除き、ハードウェアは /usr/lib/libpkcs11.so ライブラリを使用します。ライブラリが、RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki) 規格、つまり PKCS #11 ライブラリに準拠して実装されている必要があります。
設定の手順については、Sun Crypto Accelerator 6000 ボードを検出するように IKEv1 を構成する方法を参照してください。
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、セキュアなリモートログイン手順について、使用例 27およびOracle Solaris 11.3 での Secure Shell アクセスの管理 の Secure Shell を使用して ZFS をリモートで管理する方法を参照してください。
次のオプションのいずれかを選択します。
# ikecert certlocal -ks -m 2048 -t rsa-sha512 \
> -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
> -a -T dca0-accel-stor IP=192.168.116.16
Creating hardware private keys.
Enter PIN for PKCS#11 token: Type user:password
–T オプションの引数は、接続された Sun Crypto Accelerator 6000 ボードのトークン ID です。
# ikecert certlocal -kc -m 2048 -t rsa-sha512 \
> -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
> -a -T dca0-accel-stor IP=192.168.116.16
Creating hardware private keys.
Enter PIN for PKCS#11 token: Type user:password
ikecert コマンドの引数については、ikecert(1M) のマニュアルページを参照してください。
Sun Crypto Accelerator 6000 ボードのユーザー ikemgr のパスワードが rgm4tigt の場合、次のように入力します。
Enter PIN for PKCS#11 token: ikemgr:rgm4tigt
パスワードの入力後、証明書が次を出力します。
Enter PIN for PKCS#11 token: ikemgr:rgm4tigt -----BEGIN X509 CERTIFICATE----- MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu ... oKUDBbZ9O/pLWYGr -----END X509 CERTIFICATE-----
次のオプションのいずれかを選択します。
証明書は、電子メールのメッセージに貼り付けることもできます。
CA の指示に従って証明書要求を送信します。詳細な説明は、CA の署名付き証明書で IKEv1 を構成する方法のStep 2 を参照してください。
次のオプションのどちらか 1 つを選択します。
cert_trust、remote_id、および remote_addr パラメータには、リモートシステムの管理者から提供される値を使用します。たとえば、host1 システムの ike/config ファイルは次のようになります。
# Explicitly trust the following self-signed certs # Use the Subject Alternate Name to identify the cert cert_trust "192.168.116.16" Local system's certificate Subject Alt Name cert_trust "192.168.13.213" Remote system's certificate Subject Alt name ... { label "JA-host1 to US-host2" local_id_type dn local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" local_addr 192.168.116.16; remote_addr 192.168.13.213 p1_xform {auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes} }
CA が cert_root キーワードの値として提供する名前を入力します。たとえば、host1 システムの ike/config ファイルは次のようになります。
# Trusted root cert
# This certificate is from Example CA
# This is the X.509 distinguished name for the CA that it issues.
cert_root "C=US, O=ExampleCA\, Inc., OU=CA-Example, CN=Example CA"
...
{
label "JA-host1 to US-host2 - Example CA"
local_id_type dn
local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
p1_xform
{auth_method rsa_sig oakley_group 2 auth_alg sha256 encr_alg aes}
}
Step 2 で応答したように、PIN 要求に応答します。
リモートシステムの自己署名付き証明書を追加します。この例では、証明書は DCA.ACCEL.STOR.CERT ファイルに格納されています。
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT
Enter PIN for PKCS#11 token: Type user:password
自己署名付き証明書が rsa_encrypt を auth_method パラメータの値として使用していた場合、ピアの証明書をハードウェア格納場所に追加します。
CA があなたの証明書要求と組織の証明書から生成した証明書を追加します。
中間証明書の追加が必要な場合もあります。
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CERT
Enter PIN for PKCS#11 token: Type user:password
# ikecert certdb -a -T dca0-accel-stor < DCA.ACCEL.STOR.CA.CERT
Enter PIN for PKCS#11 token: Type user:password
CA からの証明書失効リスト (CRL) を追加するには、IKEv1 で失効した証明書を処理する方法を参照してください。
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。