可以使用预先共享的密钥、自签名证书和证书颁发机构 (Certificate Authority, CA) 所颁发的证书来验证 IKE。规则将特定的 IKE 验证方法与受保护的端点相关联。因此,可以在系统上使用一种或所有 IKE 验证方法。利用指向 PKCS #11 库的指针,证书可以使用连接的硬件加速器。
配置 IKE 后,完成使用 IKE 配置的 IPsec 任务。下表提供了着重说明特定 IKE 配置的任务列表。
任务 |
说明 |
参考 |
---|---|---|
使用预先共享的密钥配置 IKE |
通过使两个系统共享一个密钥来保护它们之间的通信。 | |
使用公钥证书配置 IKE |
使用公钥证书保护通信。这些证书可以是自签名的,也可以由 PKI 组织认证。 | |
跨 NAT 边界 |
将 IPsec 和 IKE 配置为与移动系统进行通信 | |
将 IKE 配置为在连接的硬件上生成和存储公钥证书 |
使 Sun Crypto Accelerator 1000 板或 Sun Crypto Accelerator 4000 板可以加快 IKE 操作。此外,使 Sun Crypto Accelerator 4000 板可以存储公钥证书。 | |
调整阶段 1 密钥协商参数 |
更改 IKE 密钥协商的时间安排。 |