Gestion des clés dans IPsec (Guide d'administration système : services IP)

Guide d'administration système : services IP

Gestion des clés dans IPsec

Les associations de sécurité (SA) requièrent des numéros de clé pour l'authentification et le chiffrement. Le processus permettant de gérer ces numéros de clés est appelé la gestion des clés. Le protocole IKE (Internet Key Exchange, échange de clé Internet) gère les clés automatiquement. La commande ipseckey permet la gestion manuelle des clés, le cas échéant.

Les SA sur les paquets IPv4 et IPv6 peuvent recourir à chacune des méthodes. Il est recommandé d'utiliser la gestion automatique à moins d'avoir une bonne raison de préférer la gestion manuelle. Par exemple, la gestion manuelle de clés s'impose dans le cadre d'interopérations avec des systèmes autres que les systèmes Solaris.

Dans la version actuelle, l'utilitaire SMF fournit les services de gestion de clés pour IPsec :

Le service svc:/network/ipsec/ike:default correspond au service SMF utilisé pour la gestion automatique des clés. Le service ike exécute le démon in.iked pour la gestion automatique des clés. Le Chapitre 22Protocole IKE (présentation) propose une description du protocole IKE. Pour plus d'informations sur le démon in.iked, reportez-vous à la page de manuel in.iked(1M). Pour plus d'informations sur le service ike, reportez-vous à la section Utilitaire de gestion du service IKE.
Le service svc:/network/ipsec/manual-key:default correspond au service SMF utilisé pour la gestion manuelle des clés. Le service manual-key exécute la commande ipseckey avec de nombreuses options pour gérer les clés manuellement. La commande ipseckey est décrite à la section Utilitaires de génération de clés IPsec. Pour obtenir une description détaillée des options de la commande ipseckey, reportez-vous à la page de manuel ipseckey(1M).

Dans les versions antérieures à la version Solaris 10 4/09, les commandes in.iked et ipseckey permettent de gérer les numéros de clé.

Le démon in.iked permet la gestion automatique des clés. Le Chapitre 22Protocole IKE (présentation) propose une description du protocole IKE. Pour plus d'informations sur le démon in.iked, reportez-vous à la page de manuel in.iked(1M).
La commande ipseckey permet de gérer les clés manuellement. La section Utilitaires de génération de clés IPsec propose une description de cette commande. Pour obtenir une description détaillée des options de la commande ipseckey, reportez-vous à la page de manuel ipseckey(1M).