Les associations de sécurité (SA) requièrent des numéros de clé pour l'authentification et le chiffrement. La gestion de ces numéros de clés s'appelle gestion des clés. Oracle Solaris fournit deux méthodes de gestion des clés pour les AS IPsec : IKE et la méthode manuelle.
Le protocole IKE (Internet Key Exchange) assure la gestion des clés de manière automatique. Oracle Solaris 11.2 prend en charge la version 2 (IKEv2) et la version 1 (IKEv1) du protocole IKE.
L'utilisation d'IKE pour gérer les SA IPsec est recommandée. Ces protocoles de gestion des clés offrent les avantages suivants :
Configuration simple
L'authentification de pairs permettent la mise en place de méthodes
Générer automatiquement des EdC avec une clé aléatoire source d'un niveau de qualité élevé
N'est pas nécessaire pour générer les nouveaux EdC une intervention administrative.
Pour plus d'informations, reportez-vous à la section Fonctionnement d'IKE.
Pour configurer IKE, reportez-vous au Chapter 9, Configuration d'IKEv2. Si vous communiquer avec un système qui ne prend pas en charge le protocole IKEv2, suivez les instructions du Chapter 10, Configuration d'IKEv1.
L'utilisation de clés manuelles et est plus complexe que est potentiellement dangereuse IKE. Un fichier système, /etc/inet/secret/ipseckeys, contient les clés de chiffrement. Si elles ne leur est compromise, enregistrée peut être utilisée pour décrypter le trafic réseau. Les clés IKE fréquemment car les modifications de la situation vis - à - vis, la fenêtre est moins important de tels un compromis. L'utilisation du fichier ipseckeys ou de son interface de commande, ipseckey, convient uniquement aux systèmes qui ne prennent pas en charge IKE.
Bien qu'elle présente un nombre limité d'options générales, la commande ipseckey prend en charge un langage de commande enrichi. Si vous le souhaitez, une interface de programmation de génération manuelle de clés peut transmettre les demandes. Pour plus d'informations, reportez-vous aux pages de manuel ipseckey(1M) et pf_key(7P).
En règle générale, les SA sont générées manuellement lorsqu'IKE n'est pas disponible pour une raison quelconque. Cependant, si les valeurs SPI sont uniques, la génération manuelle des SA et IKE peuvent être utilisés en même temps.