Solaris 10 4/09:从此发行版开始,服务管理工具 (Service Management Facility, SMF) 将 IPsec 作为一组服务来管理。
缺省情况下,在系统引导时,将启用以下两个 IPsec 服务:
svc:/network/ipsec/policy:default
svc:/network/ipsec/ipsecalgs:default
缺省情况下,在系统引导时,将禁用以下密钥管理服务:
svc:/network/ipsec/manual-key:default
svc:/network/ipsec/ike:default
要在 SMF 下激活 IPsec 策略,请执行以下步骤:
将 IPsec 策略项添加到 ipsecinit.conf 文件。
配置 Internet 密钥交换 (Internet Key Exchange, IKE) 或手动配置密钥。
刷新 IPsec 策略服务。
启用密钥管理服务。
有关 SMF 的更多信息,请参见《系统管理指南:基本管理》中的第 18 章 “管理服务(概述)”。另请参见 smf(5) 和 svcadm(1M) 手册页。
从此发行版开始,ipsecconf 和 ipseckey 命令具有 -c 选项,以用于检查它们各自配置文件的语法。另外,还提供了网络 IPsec 管理权限配置文件以用于管理 IPsec 和 IKE。
Solaris 10 7/07:从此发行版开始,IPsec 以隧道模式全面实现隧道,并且支持隧道的实用程序有所修改。
IPsec 在虚拟专用网络 (virtual private network, VPN) 中以隧道模式实现了隧道。在隧道模式下,IPsec 支持位于一个 NAT 后的多个客户机。在隧道模式下,IPsec 可与其他供应商提供的 IP-in-IP 隧道实现方式交互使用。IPsec 继续以传输模式支持隧道,所以它与早期的 Solaris 发行版兼容。
创建隧道的语法已得到简化。为了管理 IPsec 策略,扩展了 ipsecconf 命令。对管理 IPsec 策略而言,ifconfig 命令已过时。
从此发行版起,删除了 /etc/ipnodes 文件。可使用 /etc/hosts 文件来配置网络 IPv6 地址。
Solaris 10 1/06:从此发行版开始,IKE 与 NAT 遍历支持完全兼容,如 RFC 3947 和 RFC 3948 中所述。IKE 操作使用加密框架中的 PKCS #11 库,从而提高了性能。
加密框架为使用 metaslot 的应用程序提供了 softtoken 密钥库。IKE 使用 metaslot 时,可以选择在磁盘上、已连接的板上或在 softtoken 密钥库中存储密钥。
有关如何使用 softtoken 密钥库的信息,请参见 cryptoadm(1M) 手册页。
有关 Solaris 新增功能的完整列表和 Solaris 发行版的说明,请参见《Oracle Solaris 10 9/10 新增功能》。