如何刷新 IKE 预先共享密钥

此过程假定您希望按固定的时间间隔替换现有的预先共享密钥。

1. 在系统控制台上，承担主管理员角色或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

   ---

   注 –

   远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录，系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。

   ---

2. 生成随机数，并构造适当长度的密钥。

   有关详细信息，请参见如何在 Solaris 系统上生成随机数。如果要为 Solaris 系统生成预先共享的密钥，而且此系统与需要 ASCII 的操作系统通信，请参见示例 23–1。

3. 将当前密钥替换为新密钥。

   例如，在主机 enigma 和 partym 上，将 /etc/inet/secret/ike.preshared 文件中 key 的值替换为一个相同长度的新数值。

4. 将新密钥读入内核。

   • 从 Solaris 10 4/09 发行版开始，请刷新 ike 服务。

     # svcadm refresh ike

   • 如果您运行的是 Solaris 10 4/09 发行版之前的发行版，请中止并重新启动 in.iked 守护进程。

     1. 检查 in.iked 守护进程的权限级别。

        # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled

        如果该命令返回权限级别 0x1 或 0x2，则您可以更改加密材料。级别 0x0 不允许执行修改或查看加密材料的操作。缺省情况下，in.iked 守护进程按权限级别 0x0 运行。

     2. 如果权限级别是 0x0，请先中止再重新启动该守护进程。

        守护进程重新启动时，它将读取新版本的 ike.preshared 文件。

        # pkill in.iked # /usr/lib/inet/in.iked

     3. 如果权限级别是 0x1 或 0x2，则读入新版本的 ike.preshared 文件。

        # ikeadm read preshared