5.9. 使用密码保护 IPsec NSS 数据库

流程

1. 为 Libreswan 的 NSS 数据库启用密码保护：

   # certutil -N -d sql:/etc/ipsec.d
   Enter Password or Pin for "NSS Certificate DB":
   Enter a password which will be used to encrypt your keys.
   The password should be at least 8 characters long,
   and should contain at least one non-alphabetic character.
   
   Enter new password:

   Copy to Clipboard Toggle word wrap

2. 创建包含您在上一步中设置的密码的 /etc/ipsec.d/nsspassword 文件，例如：

   # cat /etc/ipsec.d/nsspassword
   NSS Certificate DB:_<password>_

   Copy to Clipboard Toggle word wrap

   nsspassword 文件使用以下语法：

   <token_1>:<password1>
   <token_2>:<password2>

   Copy to Clipboard Toggle word wrap

   默认的 NSS 软件令牌是 NSS 证书 数据库。如果您的系统以 FIPS 模式运行，则令牌的名称为 NSS FIPS 140-2 证书数据库。

3. 根据您的场景，在完成了 nsspassword 文件后，启动或重启 ipsec 服务：

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

验证

1. 在其 NSS 数据库中添加非空密码后，检查 ipsec 服务是否运行：

   # systemctl status ipsec
   ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
      Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disable>
      Active: active (running)...

   Copy to Clipboard Toggle word wrap

2. 检查 Journal 日志是否包含确认成功初始化的条目：

   # journalctl -u ipsec
   ...
   pluto[6214]: Initializing NSS using read-write database "sql:/etc/ipsec.d"
   pluto[6214]: NSS Password from file "/etc/ipsec.d/nsspassword" for token "NSS Certificate DB" with length 20 passed to NSS
   pluto[6214]: NSS crypto library initialized
   ...

   Copy to Clipboard Toggle word wrap