IKEv1 デーモン in.iked は、セキュアな方法で鍵をネゴシエートして IPsec SA を認証します。IKEv1 は Perfect Forward Secrecy (PFS) を提供します。PFS では、データ伝送を保護する鍵を使用しないで追加鍵を取得します。また、データ伝送の鍵の作成に使用するシードを再利用しません。in.iked(1M) のマニュアルページを参照してください。
IKEv1 プロトコルには 2 つのフェーズがあります。Oracle Solaris は、メインモードフェーズ 1 交換をサポートしています。メインモード交換は、2 つのピア間で ISAKMP セキュリティーアソシエーション (SA) を作成するのに使用できるパラメータをネゴシエートします。この ISAKMP SA は非対称の暗号化を使用して鍵情報を交換し、事前共有鍵または公開鍵証明書を使用してピアを認証します。IPsec SA とは異なり、ISAKMP SA は双方向であるため、1 つの SA だけ必要です。
フェーズ 1 交換での IKEv1 による ISAKAMP SA のネゴシエート方法は構成可能です。IKEv1 は、/etc/inet/ike/config ファイルから構成情報を読み取ります。次の構成情報があります。
グローバルパラメータ (公開鍵証明書の名前など)
Perfect Forward Secrecy (PFS) が必要かどうか
このシステムの IKE ピア
フェーズ 1 交換を保護するアルゴリズム
認証方式
認証方式には、事前共有鍵と公開鍵証明書の 2 つがあります。公開鍵証明書は、自己署名することも認証局 (CA) に発行してもらうこともできます。
詳細は、ike.config(4) のマニュアルページを参照してください。
フェーズ 2 交換はクイックモードと呼ばれます。クイックモード交換は、IPsec SA を作成するのに必要な IPsec アルゴリズムと鍵情報をネゴシエートします。この交換はフェーズ 1 でネゴシエートされる ISAKMP SA によって保護 (暗号化) されています。
クイックモード交換のアルゴリズムおよびセキュリティープロトコルは、IPsec ポリシーファイル /etc/inet/ipsecinit.conf から取得されます。
IPsec SA は期限が切れると鍵が再生成されます。SA のライフタイムは、IPsec SA の作成時に in.iked デーモンによって設定されます。この値は構成可能です。
詳細は、ipsecconf(1M) および in.iked(1M) のマニュアルページを参照してください。