如果手动创建预先共享的密钥,这些密钥将存储在 /etc/inet/secret 目录下的文件中。ike.preshared 文件包含用于 Internet 安全关联和密钥管理协议 (Internet Security Association and Key Management Protocol, ISAKMP) SA 的预先共享的密钥。ipseckeys 文件包含用于 IPsec SA 的预先共享的密钥。按 0600 保护这些文件。按 0700 保护 secret 目录。
将 ike/config 文件配置为需要预先共享的密钥时,您需要创建 ike.preshared 文件。在 ike.preshared 文件中输入 ISAKMP SA 的加密材料(即用于 IKE 验证)。由于预先共享的密钥用于验证阶段 1 交换,因此在 in.iked 守护进程启动之前,该文件必须有效。
ipseckeys 文件包含 IPsec SA 的加密材料。有关手动管理该文件的示例,请参见如何手动创建 IPsec 安全关联。IKE 守护进程不使用此文件。IKE 为 IPsec SA 生成的加密材料存储在内核中。
预先共享的密钥不能利用硬件存储。预先共享的密钥是在系统上生成和存储的。