IPsec と IKE の管理

既存の事前共有鍵を更新する方法

この手順では、リブートすることなく、一定の間隔で既存の事前共有鍵を置き換えたい場合を想定しています。3DES や Blowfish などの強力な暗号化アルゴリズムを使用するときは、両方のシステムのリブート時に鍵を変更するようスケジュールしたほうがよい場合もあります。

  1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。


    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティがリモートログインセッションレベルに低下します。


  2. 乱数を生成し、適切な長さのキーを作成します。

    詳細については、乱数を生成する方法を参照してください。

  3. システムごとに /etc/inet/secret/ike.preshared ファイルを編集して、現在のキーを新しいキーに変更します。

    たとえば、ホスト enigmapartym で、key の値をそれと同じ長さの新しい数値で置き換えます。

  4. in.iked デーモンがキー情報の変更を許可するかどうか確認します。


    # /usr/sbin/ikeadm get priv
    Current privilege level is 0x2, access to keying material enabled

    コマンドから 0x1 または 0x2 の権限レベルが戻された場合には、キー情報を変更できます。レベル 0x0 の場合には、キー情報を操作できません。デフォルトでは、in.iked デーモンは 0x0 の権限レベルで実行されます。

  5. in.iked デーモンがキー情報の変更を許可する場合は、ike.preshared ファイルの新しいバージョンを読み込みます。


    # ikeadm read preshared
    
  6. in.iked デーモンがキー情報の変更を許可しない場合は、デーモンを強制終了してから再起動します。


    # pkill in.iked
    # /usr/lib/inet/in.iked
    

    デーモンは再起動時に ike.preshared ファイルの新しいバージョンを読み込みます。