加入收藏 | 设为首页 | 会员中心 | 我要投稿 云计算网_泰州站长网 (http://www.0523zz.com/)- 视觉智能、AI应用、CDN、行业物联网、智能数字人!
当前位置: 首页 > 服务器 > 搭建环境 > Unix > 正文

如何在AIX上简化和集中化IPSec管理

发布时间:2016-01-13 10:54:27 所属栏目:Unix 来源:网络整理
导读:概述 Internet Protocol Security 是一个协议套件,提供各种信息安全特性。个人用户或组织可使用 IPSec 特性来保护所有应用程序的流量,无需对应用程序本身进行

# ldapsearch -h vayu17.in.ibm.com -D cn=admin -w
adminpwd -s sub -b " ou=ipsec,cn=aixdata" objectclass=*
ou=ipsec,cn=aixdata
ou=ipsec
objectClass=organizationalUnit
objectClass=top

您还需要确保所有的 IKE 服务都是活动的,如清单 5 所示。
清单 5. IKE 服务

# lssrc -g ike
Subsystem         Group            PID          Status
cpsd             ike              2883782      active
tmd              ike              5373970      active
iked             ike              9175268      active

为客户端机器创建 GSKit 密钥文件

AIX IPSec 简化特性支持基于证书的身份验证。您可以通过使用 IBM Global Security Kit (GSKit) 命令为每个客户端机器创建证书。
使用 GSKit 创建证书

本节介绍如何使用 GSKit 为 IPSec 证书身份验证机制创建证书。IBM GSKit 是许多 IBM 产品所使用的一个库和一组命令行工具。在 AIX 中的 IPSec 是一个特性,它针对 IPSec 证书身份验证机制使用这些文件。(对 GSKit 工具的进一步讨论超出了本文的范围。)

下列步骤显示了用于为通过 IPSec 进行相互相通信的两台机器创建必要的 GSKit 密钥文件的典型命令。两台机器的密钥文件中的证书由相同的证书授权机构 (CA) 签署。生成密钥文件后,必须将它们安装到每台机器的 /etc/security 目录。

使用 gskit 命令创建两个密钥数据库文件。使用清单 6 中的代码为机器 1 创建数据库。

清单 6. 为机器 1 创建数据库

#gsk7cmd -keydb -create -db /GSK_CERTS/ikekey -pw

123456 -type cms –stash

使用清单 7 中的代码为机器 2 创建数据库。

清单 7. 为机器 2 创建数据库

#gsk7cmd -keydb -create -db /GSK_CERTS/ikekey1 -pw

123456 -type cms –stash

使用清单 8 中的命令,在第一台机器的密钥文件中生成根证书授权机构。

清单 8. 根证书授权机构

#gsk7cmd  -cert -create -db /GSK_CERTS/ikekey.kdb -pw

123456 -size 1024 -dn "C=IN,O=IBM,CN=ipsecroot"

-label Root_CA -default_cert  yes -ca yes

使用清单 9 中的命令,列出数据库内容。

清单 9. 列出数据库内容

#gsk7cmd -cert -list -db /GSK_CERTS/ikekey.kdb -pw 123456
Certificates in database:/GSK_CERTS/ikekey.kdb
   Entrust.net Global Secure Server Certification Authority
   Entrust.net Global Client Certification Authority
   Entrust.net Client Certification Authority
   Entrust.net Certification Authority (2048)
   Entrust.net Secure Server Certification Authority
   VeriSign Class 3 Secure Server CA
   VeriSign Class 3 Public Primary Certification Authority
   VeriSign Class 2 Public Primary Certification Authority
   VeriSign Class 1 Public Primary Certification Authority
   VeriSign Class 4 Public Primary Certification Authority - G2
   VeriSign Class 3 Public Primary Certification Authority - G2
   VeriSign Class 2 Public Primary Certification Authority - G2
   VeriSign Class 1 Public Primary Certification Authority - G2
   VeriSign Class 4 Public Primary Certification Authority - G3
   VeriSign Class 3 Public Primary Certification Authority - G3
   VeriSign Class 2 Public Primary Certification Authority - G3
   VeriSign Class 1 Public Primary Certification Authority - G3
   Thawte Personal Premium CA
   Thawte Personal Freemail CA
   Thawte Personal Basic CA
   Thawte Premium Server CA
   Thawte Server CA
   Root_CA

(编辑:云计算网_泰州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0523zz.com/ All Rights Reserved. 云计算网_泰州站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330476号