Création manuelle de clés IPsec

La procédure ci-dessous présente les clés IPsec pour le moment où vous n'utilisez pas uniquement pour la gestion des clés IKE.

Les AS IPsec qui sont ajoutées par le biais de la commande ipseckey ne sont pas conservées après la réinitialisation du système. Pour les AS IPsec persistantes, ajoutez des entrées au fichier /etc/inet/secret/ipseckeys.

---

Mise en garde  - Si vous devez opter pour une génération manuelle de clés prudence afin de garantir, prenez les précautions suivantes avant que les clés que vous générez sont sécurisés. Il s'agit des clés réelles utilisé pour sécuriser les données.

---

Avant de commencer

La gestion manuelle des numéros de clé dans une zone IP partagée s'effectue dans la zone globale. Zone pour IP exclusif, vous configurez les informations relatives à la génération de zone qui IP exclusif Le multipathing sur réseau IP dans.

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

1. Générez les clés pour les SA IPsec.

   Les clés doivent prendre en charge une stratégie spécifique dans le fichier ipsecinit.conf. Par exemple, vous pouvez utiliser la stratégie de la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec :

   {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   Cette stratégie utilise les algorithmes AES et SHA-2

   1. Déterminez les clés nécessaires.

      Vous devez générer les clés pour aes, sha512 et l'index de paramètres de sécurité index du paramètre de sécurité de l'AS :

      • Deux numéros aléatoires hexadécimaux comme valeur du SPI. un numéro pour le trafic sortant et un numéro pour le trafic entrant. Chaque numéro peut comporter huit caractères maximum.

      • Deux numéros aléatoires hexadécimaux pour l'algorithme d'authentification SHA-2. Chacun des numéros doit comporter 512 caractères. L'un d'eux est dédié à dst enigma, l'autre à dst partym.

      • Deux numéros aléatoires hexadécimaux pour l'algorithme de chiffrement AES. Chacun des numéros doit comporter 128 caractères. L'un d'eux est dédié à dst enigma, l'autre à dst partym.

      ---

      Remarque - La commande ipsecalgs -l affiche les tailles de clé des algorithmes. Suivez la procédure ci-dessous lors de l'utilisation de clés manuelles, c'est-à-dire les algorithmes AES SHA512 et utilisez la. N'utilisez pas de type "Weak Identity Map" algorithmes des algorithmes, les ou le mode combiné des algorithmes pour clés manuelles GMAC.

      ---

   2. Générez les clés requises.

      • Si un générateur de nombres aléatoires est disponible sur votre site, utilisez-le.

      • Utilisez la commande pktool comme indiqué dans la section Génération d’une clé symétrique à l’aide de la commande pktool du manuel Gestion du chiffrement et des certificats dans Oracle Solaris 11.2 et l'exemple IPsec de cette section.

2. Ajoutez les clés au fichier de clés manuelles pour IPsec.
   1. Modifiez le fichier /etc/inet/secret/ipseckeys sur le système enigma de manière qu'il se présente comme suit :

      ## ipseckeys - This file takes the file format documented in 
      ##  ipseckey(1m).
      #   Note that naming services might not be available when this file
      #   loads, just like ipsecinit.conf.
      #
      #   Backslashes indicate command continuation.
      #
      # for outbound packets on enigma
      add esp spi 0x8bcd1407 \
         src 192.168.116.16 dst 192.168.13.213  \
         encr_alg aes \
         auth_alg sha512  \
         encrkey  d41fb74470271826a8e7a80d343cc5aa... \
         authkey  e896f8df7f78d6cab36c94ccf293f031...
      #
      # for inbound packets
      add esp spi 0x122a43e4 \
         src 192.168.13.213 dst 192.168.116.16 \
         encr_alg aes \
         auth_alg sha512  \
         encrkey dd325c5c137fb4739a55c9b3a1747baa... \
         authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...

   2. Protégez le fichier à l'aide d'autorisations de lecture seule.

      # chmod 400 /etc/inet/secret/ipseckeys

      Si vous avez utilisé la commande pfedit -s pour créer le fichier ipseckeys, les autorisations sont définies correctement. Pour plus d'informations, reportez-vous à la page de manuel pfedit(1M).

   3. Vérifiez la syntaxe du fichier.

      # ipseckey -c /etc/inet/secret/ipseckeys

   ---

   Remarque - Les clés utilisées sur les deux systèmes doivent être identiques.

   ---

3. Activez les clés pour IPsec.
   • Si le service manual-key n'est pas activé, activez-le.

     % svcs manual-key
     STATE          STIME    FMRI
     disabled       Apr_10   svc:/network/ipsec/manual-key:default
     # svcadm enable ipsec/manual-key

   • Si le service manual-key est activé, actualisez-le.

     # svcadm refresh ipsec/manual-key

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.