使用预先共享的密钥配置 IKE

使用预先共享的密钥是验证 IKE 的最简单方法。如果要将对等方系统配置为使用 IKE，而且您是这两个系统的管理员，则使用预先共享的密钥是一个良好的选择。但是，与公钥证书不同，预先共享的密钥与 IP 地址相关联。可以将预先共享的密钥与特定的 IP 地址或 IP 地址范围关联。预先共享的密钥不能用于移动系统或可能重新编号的系统，除非重新编号处于指定的 IP 地址范围内。

如何使用预先共享的密钥配置 IKE

IKE 实现提供了采用可变密钥长度的算法。所选的密钥长度是由站点安全性确定的。通常，密钥越长，提供的安全性就越高。

在此过程中，将生成 ASCII 格式的密钥。

以下过程使用系统名称 enigma 和 partym。请用您的系统名称替换名称 enigma 和 partym。

1. 成为管理员。

   有关更多信息，请参见《Oracle Solaris 管理：安全服务》中的"如何获取管理权限"。如果您以远程方式登录，请使用 ssh 命令实现安全的远程登录。有关示例，请参见示例 15-1。

2. 在每个系统上，创建一个 /etc/inet/ike/config 文件。

   您可以使用 /etc/inet/ike/config.sample 作为模板。

3. 在每个系统上的 ike/config 文件中输入规则和全局参数。

   此文件中的规则和全局参数应该允许系统的 ipsecinit.conf 文件中的 IPsec 策略可以成功实施。以下是与如何使用 IPsec 保证两个系统之间的通信安全中的 ipsecinit.conf 示例配合使用的 IKE 配置示例。

   1. 例如，在 enigma 系统上修改 /etc/inet/ike/config 文件：

      ### ike/config file on enigma, 192.168.116.16
      
      ## Global parameters
      #
      ## Defaults that individual rules can override.
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      #
      ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }

   2. 在 partym 系统上修改 /etc/inet/ike/config 文件：

      ### ike/config file on partym, 192.168.13.213
      ## Global Parameters
      #
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      
      ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }

4. 在每个系统上，验证该文件的语法。

   # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config

5. 在每个系统上创建文件 /etc/inet/secret/ike.preshared。

   在每个文件中放置预先共享的密钥。

   1. 例如，在 enigma 系统上，ike.preshared 文件的显示与以下信息类似：

      # ike.preshared on enigma, 192.168.116.16
      #…
      { localidtype IP
          localid 192.168.116.16
          remoteidtype IP
          remoteid 192.168.13.213
          # The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
      # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      }

   2. 在 partym 系统上，ike.preshared 文件的显示与以下信息类似：

      # ike.preshared on partym, 192.168.13.213
      #…
      { localidtype IP
          localid 192.168.13.213
          remoteidtype IP
          remoteid 192.168.116.16
          # The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
          key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
          }

6. 启用 IKE 服务。

   # svcadm enable ipsec/ike

示例 18-1 刷新 IKE 预先共享的密钥

如果 IKE 管理员要刷新预先共享的密钥，他们可以编辑对等方系统上的文件，然后重新启动 in.iked 守护进程。

首先，管理员添加一个预先共享的密钥项，该项对 192.168.13.0/24 子网中的任意主机都有效。

#…
{ localidtype IP
    localid 192.168.116.0/24
    remoteidtype IP
    remoteid 192.168.13.0/24
    # enigma and partym's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \"reguLarLy)"
    }

然后，管理员重新启动每个系统上的 IKE 服务。

# svcadm enable ipsec/ike

接下来的步骤

如果建立 IPsec 策略未完成，请返回到 IPsec 过程以启用或刷新 IPsec 策略。

如何为新的对等方系统更新 IKE

如果将 IPsec 策略项添加到相同对等方之间的工作配置，则需要刷新 IPsec 策略服务。无需重新配置或重新启动 IKE。

如果将新的对等方添加到 IPsec 策略，则除了进行 IPsec 更改之外，还必须修改 IKE 配置。

开始之前

您已更新了对等方系统的 ipsecinit.conf 文件并刷新了 IPsec 策略。

1. 成为管理员。

   有关更多信息，请参见《Oracle Solaris 管理：安全服务》中的"如何获取管理权限"。如果您以远程方式登录，请使用 ssh 命令实现安全的远程登录。有关示例，请参见示例 15-1。

2. 为 IKE 创建一个规则以管理使用 IPsec 的新系统的密钥。
   1. 例如，在 enigma 系统上，将以下规则添加到文件 /etc/inet/ike/config：

      ### ike/config file on enigma, 192.168.116.16
       
      ## The rule to communicate with ada
      
      {label "enigma-to-ada"
       local_addr 192.168.116.16
       remote_addr 192.168.15.7
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
          }

   2. 在 ada 系统上，添加以下规则：

      ### ike/config file on ada, 192.168.15.7
       
      ## The rule to communicate with enigma
      
      {label "ada-to-enigma"
       local_addr 192.168.15.7
       remote_addr 192.168.116.16
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
      }

3. 为对等方系统创建 IKE 预先共享的密钥。
   1. 在 enigma 系统上，将以下信息添加到 /etc/inet/secret/ike.preshared 文件：

      # ike.preshared on enigma for the ada interface
      # 
      { localidtype IP
        localid 192.168.116.16
        remoteidtype IP
        remoteid 192.168.15.7
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

   2. 在 ada 系统上，将以下信息添加到 ike.preshared 文件：

      # ike.preshared on ada for the enigma interface
      # 
      { localidtype IP
        localid 192.168.15.7
        remoteidtype IP
        remoteid 192.168.116.16
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

4. 在每个系统上，刷新 ike 服务。

   # svcadm refresh ike

接下来的步骤

如果建立 IPsec 策略未完成，请返回到 IPsec 过程以启用或刷新 IPsec 策略。