IKE のネゴシエーション

2 つの IKE デーモンがある場合、相互認証を行うには、有効な IKE 構成ポリシーファイル ike.config(4) とキー情報が必要です。 ポリシーファイルには、フェーズ 1 交換の認証に事前共有鍵または公開鍵証明書を使用するかどうかを決定する IKE ポリシーエントリが含まれています。

鍵のペア auth_method preshared は、事前共有鍵が使用されることを示します。auth_method の値が preshared 以外の場合には、公開鍵証明書が使用されることを示します。公開鍵証明書は自己署名付きにするか、PKI ベンダーから発行できます。

事前共有鍵の使用

事前共有鍵は、1 つのシステムの管理者によって作成され、通信するシステムの管理者とアウトオブバンドで共有します。管理者は、大量のランダム鍵の作成、そのファイルとアウトオブバンド伝送の保護に十分注意する必要があります。鍵は、各システムの /etc/inet/secret/ike.preshared ファイルに保存されます。IPsec の場合は ipseckeys ファイルですが、IKE の場合は ike.preshared(4) ファイルとなります。ike.preshared ファイルにある鍵に問題があると、その鍵から導出されるすべての鍵に問題が発生します。

1 つのシステムの事前共有鍵は、通信するシステムの鍵と同一にする必要があります。鍵は特定の IP アドレスに連結され、そのセキュリティ保護は管理者が通信するシステムを制御する場合に最も強化されます。

公開鍵証明書の使用

公開鍵証明書を使用すると、通信するシステムが秘密鍵情報をアウトオブバンドで共有する必要がなくなります。公開鍵では、鍵の認証とネゴシエーションに Diffie-Helman 方式を採用します。公開鍵証明書には、自己署名付きまたは認証局 (CA) による認証の 2 つの方法があります。

自己署名付き公開鍵証明書は、管理者によって作成されます。ikecert local -ks コマンドを実行して、システムの公開鍵と非公開鍵のペアの非公開部分を作成します。その後、管理者は通信するシステムから X.509 形式で自己署名付き証明書の出力を取得します。通信するシステムの証明書は、鍵のペアの公開部分の ikecert certdb コマンドに入力されます。自己署名付き証明書は、通信するホストの /etc/inet/ike/publickeys ディレクトリに保存されます。

自己署名付き証明書は、事前共有鍵と CA 間の中間ポイントになります。事前共有鍵とは異なり、自己署名付き証明書は移動体システムまたは再番号付け可能なシステムで使用できます。これを可能にするには、管理者は DNS (www.example.org) または EMAIL (root@domain.org) の代替名を使用します。

公開鍵は、PKI または CA ベンダーで配信できます。 公開鍵とそれに関連する CA は、管理者によって /etc/inet/ike/publickeys ディレクトリに格納されます。また、ベンダーは証明書無効リスト (CRL) も発行します。管理者は鍵と CA を格納するだけでなく、CRL を /etc/inet/ike/crls ディレクトリに格納する責任があります。

CA にはサイトの管理者ではなく、外部のベンダーによって認証されるといった特長があります。その点では、CA は公証された証明書となります。自己署名付き証明書と同様に、CA は移動体システムまたは再番号付け可能なシステムで使用できます。その一方、自己署名付き証明書とは異なり、CA は通信する多くのシステムを保護するために容易にスケーリングします。