跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 11 Information Library (简体中文) |
/etc/inet/ike/config 配置文件包含 IKE 策略项。为了使两个 IKE 守护进程相互验证,这些项必须是有效的。此外,加密材料必须可用。配置文件中的项确定使用加密材料验证阶段 1 交换的方法。可以选择预先共享的密钥或公钥证书。
项 auth_method preshared 指示使用预先共享的密钥。除 preshared 之外的 auth_method 值指示要使用公钥证书。公钥证书可以自签名,也可以从 PKI 组织安装。有关更多信息,请参见 ike.config(4) 手册页。
预先共享的密钥用于验证两个对等方系统。预先共享的密钥为由一个系统上的管理员创建的十六位数字或 ASCII 字符串。然后,以安全方式与对等方系统的管理员共享该密钥。如果预先共享的密钥被入侵者拦截,则该入侵者可以假扮某个对等方系统。
使用此验证方法的对等方中预先共享的密钥必须相同。这些密钥与特定的 IP 地址或地址范围相关联。这些密钥放置在每个系统上的 /etc/inet/secret/ike.preshared 文件中。有关更多信息,请参见 ike.preshared(4) 手册页。
使用公钥证书,通信系统就无需在带外共享秘密的加密材料。公钥使用 Diffie-Hellman algorithm(Diffie-Hellman 算法)(DH) 来验证和协商密钥。公钥证书有两种类型。这些证书可以自签名,也可以由 certificate authority, CA(证书颁发机构)认证。
自签名的公钥证书由管理员创建。ikecert certlocal -ks 命令为系统创建公钥/私钥对的私钥部分。然后,从远程系统获取 X.509 格式的自签名证书输出。远程系统的证书是用于创建密钥对的公钥部分的 ikecert certdb 命令的输入。在通信系统上,自签名的证书驻留在 /etc/inet/ike/publickeys 目录中。使用 -T 选项时,证书驻留在连接的硬件上。
自签名的证书介于预先共享的密钥和 CA 中间。与预先共享的密钥不同,自签名的证书可以在移动计算机或可能重新编号的系统上使用。要为没有固定编号的系统对证书自行签名,请使用 DNS (www.example.org) 或 email (root@domain.org) 替换名称。
公钥可以由 PKI 或 CA 组织提供。在 /etc/inet/ike/publickeys 目录中安装公钥及其相应的 CA。使用 -T 选项时,证书驻留在连接的硬件上。供应商还发布证书撤销列表 (certificate revocation list, CRL)。除安装密钥和 CA 以外,您还负责在 /etc/inet/ike/crls 目录中安装 CRL。
CA 的优势在于由外部组织而不是由站点管理员认证。在某种意义上,CA 是经过确认的证书。与自签名的证书一样,CA 可以在移动计算机或可能重新编号的系统上使用。与自签名的证书不同的是,CA 可以非常容易地扩展以保护大量的通信系统。