JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 でのネットワークのセキュリティー保護     Oracle Solaris 11.1 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

1.  仮想化環境でのリンク保護の使用

2.  ネットワークのチューニング (タスク)

3.  Web サーバーと Secure Sockets Layer プロトコル

4.  Oracle Solaris の IP フィルタ (概要)

5.  IP フィルタ (タスク)

6.  IP セキュリティーアーキテクチャー (概要)

7.  IPsec の構成 (タスク)

8.  IP セキュリティーアーキテクチャー (リファレンス)

9.  インターネット鍵交換 (概要)

IKE による鍵管理

IKE の鍵ネゴシエーション

IKE の鍵用語について

IKE フェーズ 1 交換

IKE フェーズ 2 交換

IKE 構成の選択

IKE と事前共有鍵認証

IKE と公開鍵証明書

IKE ユーティリティーおよび IKE ファイル

10.  IKE の構成 (タスク)

11.  インターネット鍵交換 (リファレンス)

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

IKE 構成の選択

/etc/inet/ike/config 構成ファイルには、IKE ポリシーのエントリが含まれています。2 つの IKE デーモンを相互に認証するためには、これらのエントリが有効でなければなりません。さらに、鍵情報も必要です。構成ファイルのエントリは、フェーズ 1 交換を認証するための鍵情報の使用方法を決定します。選択肢は、事前共有鍵か公開鍵証明書のどちらかです。

エントリ auth_method preshared は、事前共有鍵が使用されることを示します。auth_method の値が preshared 以外の場合には、公開鍵証明書が使用されることを示します。公開鍵証明書は自己署名付きにするか、PKI 組織から発行できます。詳細は、ike.config(4) のマニュアルページを参照してください。

IKE と事前共有鍵認証

事前共有鍵は、複数のピアシステムを認証するために使用されます。事前共有鍵は、1 つのシステム上の管理者によって作成される 16 進数または ASCII 文字列です。この鍵はその後、ピアシステムの管理者によってセキュアな方法で対域外で共有されます。事前共有鍵が傍受者によって傍受されると、その傍受者はピアシステムの 1 つを偽装できる可能性があります。

この認証方法を使用するピア上の事前共有鍵は、同一である必要があります。これらの鍵は、特定の IP アドレスまたはアドレス範囲に関連付けられています。鍵は、各システムの /etc/inet/secret/ike.preshared ファイルに保存されます。

詳細は、ike.preshared(4) のマニュアルページを参照してください。

IKE と公開鍵証明書

公開鍵証明書を使用すると、通信するシステムが秘密鍵情報を帯域外で共有する必要がなくなります。公開鍵では、鍵の認証とネゴシエーションに Diffie-Hellman アルゴリズム (DH) を使用します。公開鍵証明書には、2 つの方法があります。公開鍵証明書は、自己署名付きにすることも、認証局 (CA) が認証することもできます。

自己署名付き公開鍵証明書は、自ら (管理者) が作成します。ikecert certlocal -ks コマンドを実行して、システムの公開鍵と非公開鍵のペアの非公開部分を作成します。そのあと、管理者は、リモートシステムから X.509 形式で自己署名付き証明書の出力を取得します。リモートシステムの証明書は、鍵のペアの公開部分の ikecert certdb コマンドに入力されます。自己署名付き証明書は、通信するシステムの /etc/inet/ike/publickeys ディレクトリに保存されます。証明書をシステムに接続されているハードウェアに保存したい場合は、-T オプションを指定します。

自己署名付き証明書は、事前共有鍵と CA 間の中間ポイントになります。事前共有鍵とは異なり、自己署名付き証明書は移動体システムまたは再番号付け可能なシステムで使用できます。固定番号を使用しないで、システムの証明書に自己署名するには、DNS (www.example.org) または email (root@domain.org) の代替名を使用します。

公開鍵は、PKI または CA 組織で配信できます。公開鍵とそれに関連する CA は、/etc/inet/ike/publickeys ディレクトリに格納されます。証明書をシステムに接続されているハードウェアに保存したい場合は、-T オプションを指定します。また、ベンダーは証明書失効リスト (CRL) も発行します。管理者は鍵と CA を格納するだけでなく、CRL を /etc/inet/ike/crls ディレクトリに格納する責任があります。

CA には、サイトの管理者ではなく、外部の機関によって認証されるといった特長があります。その点では、CA は公証された証明書となります。自己署名付き証明書と同様に、CA は移動体システムまたは再番号付け可能なシステムで使用できます。その一方、自己署名付き証明書とは異なり、CA は通信する多くのシステムを保護するために容易にスケーリングできます。

Copyright © 1999, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ