此过程假定您希望按固定的时间间隔替换现有的预先共享密钥。
在系统控制台上,承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
远程登录会使安全关键型通信易于遭到窃听。即使以某种方式保护远程登录,系统的安全性也会降至远程登录会话的安全性。请使用 ssh 命令进行安全的远程登录。
生成随机数,并构造适当长度的密钥。
有关详细信息,请参见如何在 Solaris 系统上生成随机数。如果要为 Solaris 系统生成预先共享的密钥,而且此系统与需要 ASCII 的操作系统通信,请参见示例 23–1。
将当前密钥替换为新密钥。
例如,在主机 enigma 和 partym 上,将 /etc/inet/secret/ike.preshared 文件中 key 的值替换为一个相同长度的新数值。
从 Solaris 10 4/09 发行版开始,请刷新 ike 服务。
# svcadm refresh ike |
如果您运行的是 Solaris 10 4/09 发行版之前的发行版,请中止并重新启动 in.iked 守护进程。
# /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled |
如果该命令返回权限级别 0x1 或 0x2,则您可以更改加密材料。级别 0x0 不允许执行修改或查看加密材料的操作。缺省情况下,in.iked 守护进程按权限级别 0x0 运行。
守护进程重新启动时,它将读取新版本的 ike.preshared 文件。
# pkill in.iked # /usr/lib/inet/in.iked |
如果权限级别是 0x1 或 0x2,则读入新版本的 ike.preshared 文件。
# ikeadm read preshared |