IKE ユーティリティおよび IKE ファイル

この節では、IKE 構成ファイルと IKE を実装するさまざまなコマンドについて説明します。IPv4 ネットワークに IKE を実装する方法の手順については、IKE の実装 (作業マップ)を参照してください。

表 21–1 IKE ファイルおよび IKE コマンドのリスト

ファイルまたはコマンド	説明
in.iked(1M) デーモン	インターネットキー交換 (IKE) デーモン。自動キー管理を有効にします
ikeadm(1M)	IKE 管理コマンド。IKE ポリシーの表示および変更に使用します
ikecert(1M)	認証データベース管理コマンド。ローカル公開鍵の認証データベースの操作に使用します
/etc/inet/ike/config ファイル	IKE ポリシー構成ファイル。 インバウンド IKE 要求のマッチングとアウトバウンド IKE 要求の準備に関するサイトの規則が含まれています。このファイルがある場合には、in.iked デーモンがブート時に自動的に開始します
/etc/inet/secret/ike.preshared ファイル	事前共有鍵のファイル。フェーズ 1 認証の秘密鍵情報が含まれています
/etc/inet/secret/ike.privatekeys ファイル	非公開鍵のディレクトリ。公開鍵と非公開鍵のペアの非公開部分が含まれています
/etc/inet/ike/publickeys ディレクトリ	公開鍵と証明書ファイルを保存するディレクトリ。デフォルトでは、Sun 証明書が含まれます公開鍵と非公開鍵のペアの公開部分が含まれています
/etc/inet/ike/crls ディレクトリ	公開鍵と証明書ファイルの無効リストを保存するディレクトリ

IKE デーモン

in.iked(1M) デーモンを実行すると、Solaris ホスト上の暗号キーの管理が自動化されます。また、同じプロトコルを実行するリモートホストとのネゴシエーションを行い、認証されたキー情報が、保護された方法でセキュリティアソシエーションに提供されます。そのデーモンは、セキュリティ保護された通信を行うすべてのホストで実行する必要があります。IKE 構成ポリシーファイル /etc/inet/ike/config がある場合には、IKE デーモンがブート時に自動的にロードされます。

IKE デーモンを実行すると、システムではそのピア IKE エンティティに対してそのシステム自体を認証します (フェーズ 1)。そのピアは、認証方式として IKE ポリシーファイルに定義されています。その後、セッションのキーが設定されます (フェーズ 2)。 ポリシーファイルで指定した時間間隔で、IKE キーが自動的に更新されます。in.iked デーモンを実行すると、ネットワークからの着信 IKE 要求と PF_KEY ソケット経由の出力トラフィックの要求を待機します。詳細については、pf_key(7P) マニュアルページを参照してください。

2 つのプログラムで IKE デーモンをサポートします。ikeadm(1M) コマンドを実行すると、管理者は IKE ポリシーを表示および変更できます。 ikecert(1M) コマンドを実行すると、管理者は公開鍵データベース ike.privatekeys と publickeys を表示および管理できます。

IKE ポリシーファイル

IKE 構成ポリシーファイル/etc/inet/ike/config により、IKE デーモン自体のキー情報、およびそのデーモンが管理する IPsec SAのキー情報が提供されます。IKE デーモン自体は、フェーズ 1 交換でキー情報を要求します。ike/config ファイルにある規則に基づいてキー情報が設定されます。ポリシーファイルにある有効な規則にはラベルが含まれています。その規則により、キー情報を使用するホストまたはネットワークが特定され、認証方式が指定されます。有効なポリシーファイルの例については、IKE 作業を参照してください。そのパラメータの例と説明については、ike.config(4) のマニュアルページを参照してください。

IPsec SA は、IPsec 構成ポリシーファイル /etc/inet/ipsecinit.conf で設定されるポリシーに従って保護される IP データグラムで使用されます。 IKE ポリシーファイルにより、IPsec SA の作成時に PFS を使用するかどうかが決定されます。

ike/config ファイルのセキュリティについては、ipsecinit.conf ファイルのセキュリティと同様です。詳細については、セキュリティについてを参照してください。

IKE 管理コマンド

ikeadm コマンドを実行すると、IKE 構成ファイルの構文チェック、IKE デーモンプロセスの要素の表示、および IKE デーモンに渡すパラメータの変更を行うことができます。また、統計情報の収集、IKE プロセスのデバッグを行うこともできます。それらのオプションの例と詳細については、ikeadm(1M) のマニュアルページを参照してください。実行する IKE デーモンの権限レベルにより、表示および変更可能な IKE デーモンの要素が決まります。権限レベルは 3 つあります。

• 0x0 (基本レベル) — 権限の基本レベルでは、キー情報を表示または変更できません。 基本レベルは、in.iked デーモン実行時のデフォルトレベルになります。

• 0x1 (modkeys レベル) — 権限の modkeys レベルでは、事前共有鍵を削除、変更、または追加できます。

• 0x2 (keymat レベル) — 権限の keymat レベルでは、ikeadm コマンドを指定して実際のキー情報を表示できます。

ikeadm コマンドのセキュリティについては、ipseckey コマンドのセキュリティと同様です。 詳細については、セキュリティについてを参照してください。

事前共有鍵ファイル

/etc/inet/secret/ ディレクトリには、ISAKMP SA と IPsec SA の事前共有鍵が格納されています。管理者が共有鍵を手動で作成すると、ike.preshared ファイルには ISAKMP SA の事前共有鍵、ipseckeys ファイルには IPsec SA の事前共有鍵が格納されます。 secret ディレクトリは 0700 で、その中にあるファイルは 0600 で保護されています。

• ike.config ファイルが事前共有鍵を要求したときに、管理者は ike.preshared ファイルを作成します。そのファイルには、ISAKMP SA (つまり、IKE 認証) のキー情報が含まれています。IKE では、フェーズ 1 交換の認証に事前共有鍵を使用するため、 in.iked デーモンの開始前に ike.preshared ファイルを有効にする必要があります。

• ipseckeys ファイルには、IPsec SA のキー情報が含まれています。IPv6 ホストの場合、管理者はそのファイルにあるキーを手動で作成および更新します。そのファイルを手動で管理する例については、IPsec 作業を参照してください。IKE デーモンでは、このファイルを使用しません。IKE によって IPsec SA に対して生成されるキー情報は、カーネルに保存されます。

IKE 公開鍵のデータベースおよびコマンド

ikecert(1M) コマンドを実行して、ローカルホストの公開鍵データベースを操作します。IKE では、ike.config ファイルが公開鍵証明書を要求するときに、それらのデータベースを使用してフェーズ 1 交換を認証するため、in.iked デーモンを起動する前にそれらのデータベースを格納したディレクトリを生成する必要があります。 3 つのサブコマンド certlocal、certdb、certrldb をそれぞれ実行して、3 つのデータベースを処理します。

ikecert certlocal コマンド

certlocal サブコマンドを実行して、/etc/inet/secret/ike.privatekeys ディレクトリにある非公開鍵データベースを管理します。このサブコマンドを選択すると、非公開鍵の追加、表示、および削除を行うことができます。また、自己署名付き証明書または証明書要求のいずれかを作成できます。-ks オプションを選択すると、自己署名付き証明書が作成され、-kc オプションを選択すると、証明書要求が作成されます。

非公開鍵を作成する場合、certlocal サブコマンドに渡すパラメータは、次の表に示すように、ike.config ファイルに反映する必要があります。

表 21–2 ike certlocal の値と ike.config の値の対応表

certlocal オプション	ike.config エントリ	注
-A 対象の代替名	cert_trust 対象代替名	証明書を一意に識別するニックネーム。指定可能な値は IP アドレス、電子メールアドレス、およびドメイン名です。
-D X.509 識別名	cert_root X.509 識別名	国、組織名、組織単位、共通名を含む認証局のフルネーム。
-t dsa-sha1	auth_method dss_sig	RSA よりもわずかに遅くなります。 特許は登録されていません。
-t rsa-md5 -t rsa-sha1	auth_method rsa_sig	DSA よりもわずかに速くなります。 特許の期限切れは 2000 年 9 月です。  RSA 公開鍵は、最大ペイロードを暗号化できるようにその長さを十分長くする必要があります。一般的に識別名などの ID ペイロードが最大になります。
-t rsa-md5 -t rsa-sha1	auth_method rsa_encrypt	RSA 暗号化により、IKE にある ID が不正侵入者から保護されますが、IKE ピアには互いの公開鍵の認識が要求されます。

ikecert certlocal -kc コマンドを指定して証明書要求を実行する場合、そのコマンドの出力をベンダーに送信します。その後、ベンダーがキー情報を作成します。certdb と certrldb のサブコマンドへの入力としてベンダーのキー情報を使用します。

ikecert certdb コマンド

certdb サブコマンドを実行して、公開鍵データベース /etc/inet/ike/publickeys を管理します。そのサブコマンドを選択すると、公開鍵と証明書を追加、表示、および削除できます。また、通信するシステムで ikecert certlocal -ks コマンドを実行して作成された証明書を入力として受け入れます。手順については、自己署名付き公開証明書による IKE の設定方法を参照してください。さらに、PKI または CA から受信する証明書も入力として受け入れます。手順については、認証局による署名付き公開鍵による IKE の設定方法を参照してください。

ikecert certrldb コマンド

certrldb サブコマンドを実行して、証明書無効リスト (CRL; Certificate Revocation List) データベース /etc/inet/ike/crls を管理します。crls データベースには、公開鍵の無効リストが保存されています。よって、このリストには、すでに有効でない証明書が明記されます。PKI によって CRL が提供されるときに、ikecert certrldb コマンドを指定して CRL データベースにそれらの CRL を格納します。手順については、証明書無効リストを更新する方法を参照してください。

/etc/inet/ike/publickeys ディレクトリ

/etc/inet/ike/publickeys ディレクトリには、公開鍵と非公開鍵のペアの公開部分とファイルにあるその証明書、つまり「スロット」が格納されています。 /etc/inet/ike ディレクトリは 0755 で保護されます。そのディレクトリに格納される公開鍵データベースは、 各国で読み取り可能です (0644)。 ikecert certdb コマンドを使用して、そのディレクトリを読み込みます。

そのファイルには、別のシステムで生成された証明書の X.509 識別名がコード化形式で含まれています。自己署名付き証明書を使用する場合、そのコマンドへの入力として、通信するシステムの管理者から受信する証明書を使用します。PKI からの証明書を使用する場合、ベンダーからこのデータベースに 2 つのキー情報 (ベンダーに送信した情報に基づいた証明書、およびベンダーからの CA) を格納します。

iPlanet CMS の評価コピー PKI は、インストールパッケージの Media Kit で使用できます。

/etc/inet/secret/ike.privatekeys ディレクトリ

ike.privatekeys ディレクトリには、公開鍵と非公開鍵のペアの一部である非公開鍵ファイル、ISAKMP SA のキー情報が格納されています。このディレクトリは 0700 で保護されています。このデータベースにある非公開鍵は、publickeys データベースの公開鍵とペアにする必要があります。ikecert certlocal コマンドを実行して、コマンドのディレクトリを読み込みます。非公開鍵は、ペアとなる公開鍵、自己署名付き証明書や CA が /etc/inet/ike/publickeys ディレクトリに格納されてから有効になります。

/etc/inet/ike/crls ディレクトリ

/etc/inet/ike/crls ディレクトリには、証明書無効リスト (CRL) ファイルが含まれています。各ファイルは、/etc/inet/ike/publickeys/ ディレクトリにある公開鍵証明書ファイルに対応しています。PKI ベンダーにより、それらの証明書の CRL が提供されます。ikecert certrldb コマンドを使用して、そのデータベースを読み込みます。