セキュリティーアソシエーション (SA) は、認証および暗号化で使用するキー作成素材を必要とします。この鍵情報の管理は鍵管理と呼ばれます。Oracle Solaris では、IKE と手動鍵管理という 2 つの方法で IPsec SA の鍵を管理できます。
インターネット鍵交換 (IKE) プロトコルは、鍵管理を自動的に処理します。Oracle Solaris 11.2 は、IKE プロトコルの IKE バージョン 2 (IKEv2) および IKE バージョン 1 (IKEv1) をサポートしています。
IPsec SA の管理には IKE の使用をお勧めします。これらの鍵管理プロトコルには、次のメリットがあります。
単純な構成
強力なピア認証を提供
高品質でランダムな鍵ソースにより SA を自動的に生成
新しい SA の生成に管理者の介入を必要としない
詳細は、IKE の動作を参照してください。
IKE を構成するには、Chapter 9, IKEv2 の構成を参照してください。IKEv2 プロトコルをサポートしていないシステムと通信している場合は、Chapter 10, IKEv1 の構成の指示に従ってください。
手動鍵の使用は IKE よりも複雑で、リスクを伴う可能性があります。システムファイル /etc/inet/secret/ipseckeys には、暗号化鍵が含まれます。これらの鍵のセキュリティーが侵害された場合、これらを使用して、記録されているネットワークトラフィックが復号化される可能性があります。IKE では鍵が頻繁に変更されるため、そのような脅威にさらされる可能性ははるかに低くなります。ipseckeys ファイルまたはそのコマンドインタフェースである ipseckey は、IKE をサポートしていないシステムにのみ適しています。
ipseckey コマンドには少数の一般オプションしかありませんが、多くのコマンド言語をサポートしています。マニュアルキー操作に固有のプログラムインタフェースで要求を配信するように指定することもできます。詳細は、ipseckey(1M) および pf_key(7P) のマニュアルページを参照してください。
通常、手動での SA 生成は、何らかの理由で IKE を使用できない場合に使用します。ただし、SPI の値が一意であれば、手動での SA 生成と IKE を同時に使用することができます。