IKE 配置选择

/etc/inet/ike/config 配置文件包含 IKE 策略项。为了使两个 IKE 守护进程相互验证，这些项必须是有效的。此外，加密材料必须可用。配置文件中的项确定使用加密材料验证阶段 1 交换的方法。可以选择预先共享的密钥或公钥证书。

项 auth_method preshared 指示使用预先共享的密钥。除 preshared 之外的 auth_method 值指示要使用公钥证书。公钥证书可以自签名，也可以从 PKI 组织安装。有关更多信息，请参见 ike.config(4) 手册页。

IKE，使用预先共享的密钥

预先共享的密钥由一个系统上的管理员创建。然后与远程系统的管理员在带外共享这些密钥。创建较大的随机密钥和保护文件及带外传输时应谨慎。这些密钥放置在每个系统上的 /etc/inet/secret/ike.preshared 文件中。ike.preshared 文件用于 IKE，而 ipseckeys 文件用于 IPsec。ike.preshared 文件中密钥的任何泄露都将泄露从该文件中的密钥派生的所有密钥。

系统的预先共享的密钥必须与其远端系统的密钥相同。这些密钥与特定的 IP 地址相关联。由一个管理员控制通信系统时，密钥是最安全的。有关更多信息，请参见 ike.preshared(4) 手册页。

IKE，使用公钥证书

使用公钥证书，通信系统就无需在带外共享秘密的加密材料。公钥使用 Diffie-Hellman protocol（Diffie-Hellman 协议）(DH) 来验证和协商密钥。公钥证书有两种类型。这些证书可以自签名，也可以由 certificate authority, CA（证书颁发机构）认证。

自签名的公钥证书由管理员创建。ikecert certlocal -ks 命令为系统创建公钥/私钥对的私钥部分。然后，从远程系统获取 X.509 格式的自签名证书输出。远程系统的证书是用于创建密钥对的公钥部分的 ikecert certdb 命令的输入。在通信系统上，自签名的证书驻留在 /etc/inet/ike/publickeys 目录中。使用 -T 选项时，证书驻留在连接的硬件上。

自签名的证书介于预先共享的密钥和 CA 中间。与预先共享的密钥不同，自签名的证书可以在移动机器或可能重新编号的系统上使用。要为没有固定编号的系统对证书自行签名，请使用 DNS (www.example.org) 或 email (root@domain.org) 替换名称。

公钥可以由 PKI 或 CA 组织提供。在 /etc/inet/ike/publickeys 目录中安装公钥及其相应的 CA。使用 -T 选项时，证书驻留在连接的硬件上。供应商还发布证书撤销列表 (certificate revocation list, CRL)。除安装密钥和 CA 以外，您还负责在 /etc/inet/ike/crls 目录中安装 CRL。

CA 的优势在于由外部组织而不是由站点管理员认证。在某种意义上，CA 是经过确认的证书。与自签名的证书一样，CA 可以在移动机器或可能重新编号的系统上使用。与自签名的证书不同的是，CA 可以非常容易地扩展以保护大量的通信系统。