6.7. 使用密码保护 IPsec NSS 数据库

流程

1. 为 Libreswan NSS 数据库启用密码保护：

   # certutil -W -d /var/lib/ipsec/nss/

   Copy to Clipboard Toggle word wrap

2. 输入当前密码：

   Enter Password or Pin for "NSS Certificate DB": <password>

   Copy to Clipboard Toggle word wrap

   如果数据库目前不受密码保护，请按 Enter 键。

3. 输入新密码：

   Enter new password: <new_password>
   Re-enter password: <new_password>

   Copy to Clipboard Toggle word wrap

4. 要解锁数据库，ipsec 服务需要 /etc/ipsec.d/nsspassword 文件。使用以下内容创建文件：

   • 如果主机没有以 FIPS 模式运行：

     NSS Certificate DB:<password>

     Copy to Clipboard Toggle word wrap

   • 如果主机以 FIPS 模式运行：

     NSS FIPS 140-2 Certificate DB:<password>

     Copy to Clipboard Toggle word wrap

5. 在 /etc/ipsec.d/nsspassword 文件中设置安全权限：

   # chmod 600 /etc/ipsec.d/nsspassword
   # chown root:root /etc/ipsec.d/nsspassword

   Copy to Clipboard Toggle word wrap

6. 重启 ipsec 服务：

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

验证

1. 验证 ipsec 服务是否正在运行：

   # systemctl is-active ipsec

   Copy to Clipboard Toggle word wrap

   如果命令返回 活动，则服务成功使用密码文件来解锁 NSS 数据库。

2. 对需要密码的 NSS 数据库执行操作。例如，显示私钥：

   # certutil -K -d /var/lib/ipsec/nss/
   certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
   Enter Password or Pin for "NSS Certificate DB":

   Copy to Clipboard Toggle word wrap

   验证命令是否提示输入密码。