次の手順は、鍵の管理に使用しているのが IKE だけではない場合に IPsec 鍵を提供します。
ipseckey コマンドを使用して追加された IPsec SA には永続性がなく、システムのリブート時に失われます。IPsec SA に永続性を持たせるために、/etc/inet/secret/ipseckeys ファイルにエントリを追加します。
注意 - 手動で鍵処理をする必要がある場合は、生成する鍵が確実にセキュアであるように細心の注意を払う必要があります。これらの鍵は、データのセキュリティー保護に実際に使用されます。 |
始める前に
共有 IP ゾーンの鍵情報の手動管理は、大域ゾーンで行う必要があります。排他的 IP ゾーンの場合は、鍵情報をその排他的 IP ゾーンで構成します。
root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
鍵は、ipsecinit.conf ファイル内の特定のポリシーをサポートしている必要があります。たとえば、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法のポリシーを使用することもできます。
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
このポリシーは AES および SHA-2 アルゴリズムを使用します。
SA 用に、aes、sha512、および セキュリティーパラメータインデックス (SPI) の鍵を生成する必要があります。
SPI の値として、2 つの 16 進数の乱数。1 つはアウトバウンドトラフィック用です。もう 1 つはインバウンドトラフィック用です。それぞれの乱数の最大桁数は 8 桁です。
SHA-2 認証アルゴリズム用の 2 つの 16 進数の乱数。各数字の長さは 512 文字でなければいけません。1 つは dst enigma 用です。もう 1 つは dst partym 用です。
AES 暗号化アルゴリズム用の 2 つの 16 進数の乱数。各数字の長さは 128 文字でなければいけません。1 つは dst enigma 用です。もう 1 つは dst partym 用です。
乱数発生関数がすでにある場合は、それを使用してください。
Oracle Solaris 11.2 での暗号化と証明書の管理 のpktool コマンドを使用して対称鍵を生成する方法 とそのセクションの IPsec の例に従って、pktool コマンドを使用します。
## ipseckeys - This file takes the file format documented in ## ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # Backslashes indicate command continuation. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha512 \ encrkey d41fb74470271826a8e7a80d343cc5aa... \ authkey e896f8df7f78d6cab36c94ccf293f031... # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha512 \ encrkey dd325c5c137fb4739a55c9b3a1747baa... \ authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...
# chmod 400 /etc/inet/secret/ipseckeys
pfedit -s コマンドを使用して ipseckeys ファイルを作成した場合は、権限が正しく設定されています。詳細は、pfedit(1M) のマニュアルページを参照してください。
# ipseckey -c /etc/inet/secret/ipseckeys
% svcs manual-key STATE STIME FMRI disabled Apr_10 svc:/network/ipsec/manual-key:default # svcadm enable ipsec/manual-key
# svcadm refresh ipsec/manual-key
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。