IKE-Richtliniendatei

Die Konfigurationsdatei für die IKE-Richtlinie, /etc/inet/ike/config, verwaltet die Schlüssel für die Schnittstellen, die in der IPsec-Richtliniendatei, /etc/inet/ipsecinit.conf, geschützt sind. Die IKE-Richtliniendatei verwaltet die Schlüssel für IKE und für die IPsec SAs. Der IKE-Daemon selbst erfordert Schlüsselmaterial in Phase 1 Exchange.

Das Schlüsselmanagement mit IKE baut auf Regeln und globale Parameter. Eine IKE-Regel identifiziert die Systeme oder Netzwerke, die das Schlüsselmaterial sichert, und gibt die Authentifizierungsmethode an. Globale Parameter enthalten Objekte wie den Pfad zu einem angehängten Hardwarebeschleuniger. Beispiele für IKE-Richtliniendateien finden Sie unter Konfiguration von IKE mit PresharedKeys (Übersicht der Schritte). Beispiele und Beschreibungen der IKE-Richtlinieneinträge finden Sie in der Manpage ike.config(4).

Die von IKE unterstützten IPsec SAs schützen die IP-Datagramme gemäß den Richtlinien, die in der Konfigurationsdatei für die IPsec-Richtlinie, /etc/inet/ipsecinit.conf, aufgestellt wurden. Die IKE-Richtliniendatei legt fest, ob Perfect Forward Security (PFS) beim Erstellen der IPsec SAs verwendet werden soll.

Die Datei ike/config kann den Pfad zu einer Bibliothek enthalten, die gemäß dem Standard RSA Security Inc. PKCS&;#11 Cryptographic Token Interface (Cryptoki) implementiert wird. IKE verwendet diese PKCS&;#11-Bibliothek für den Zugriff auf Hardware zur Schlüsselbeschleunigung und -speicherung.

Die Sicherheitsaspekte für die ike/config-Datei entsprechend denen für die ipsecinit.conf-Datei. Ausführliche Informationen finden Sie im Abschnitt Sicherheitsbetrachtungen für ipsecinit.conf und ipsecconf.