IPsec の鍵を手動で作成する方法

次の手順は、鍵の管理に使用しているのが IKE だけではない場合に IPsec 鍵を提供します。

ipseckey コマンドを使用して追加された IPsec SA には永続性がなく、システムのリブート時に失われます。IPsec SA に永続性を持たせるために、/etc/inet/secret/ipseckeys ファイルにエントリを追加します。

---

注意  - 手動で鍵処理をする必要がある場合は、生成する鍵が確実にセキュアであるように細心の注意を払う必要があります。これらの鍵は、データのセキュリティー保護に実際に使用されます。

---

始める前に

共有 IP ゾーンの鍵情報の手動管理は、大域ゾーンで行う必要があります。排他的 IP ゾーンの場合は、鍵情報をその排他的 IP ゾーンで構成します。

root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

1. IPsec SA の鍵を生成します。

   鍵は、ipsecinit.conf ファイル内の特定のポリシーをサポートしている必要があります。たとえば、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法のポリシーを使用することもできます。

   {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   このポリシーは AES および SHA-2 アルゴリズムを使用します。

   1. 必要な鍵を決定します。

      SA 用に、aes、sha512、および セキュリティーパラメータインデックス (SPI) の鍵を生成する必要があります。

      • SPI の値として、2 つの 16 進数の乱数。1 つはアウトバウンドトラフィック用です。もう 1 つはインバウンドトラフィック用です。それぞれの乱数の最大桁数は 8 桁です。

      • SHA-2 認証アルゴリズム用の 2 つの 16 進数の乱数。各数字の長さは 512 文字でなければいけません。1 つは dst enigma 用です。もう 1 つは dst partym 用です。

      • AES 暗号化アルゴリズム用の 2 つの 16 進数の乱数。各数字の長さは 128 文字でなければいけません。1 つは dst enigma 用です。もう 1 つは dst partym 用です。

      ---

      注 - ipsecalgs -l コマンドは、アルゴリズムの鍵のサイズを表示します。手動鍵を使用する場合はこの手順に従い、SHA512 および AES アルゴリズムを使用してください。手動鍵には、弱いアルゴリズム、複合モードのアルゴリズム、または GMAC アルゴリズムは使用しないでください。

      ---

   2. 必要な鍵を生成します。

      • 乱数発生関数がすでにある場合は、それを使用してください。

      • Oracle Solaris 11.2 での暗号化と証明書の管理 のpktool コマンドを使用して対称鍵を生成する方法 とそのセクションの IPsec の例に従って、pktool コマンドを使用します。

2. IPsec の手動鍵ファイルに鍵を追加します。
   1. enigma システムの /etc/inet/secret/ipseckeys ファイルを次のように編集します。

      ## ipseckeys - This file takes the file format documented in 
      ##  ipseckey(1m).
      #   Note that naming services might not be available when this file
      #   loads, just like ipsecinit.conf.
      #
      #   Backslashes indicate command continuation.
      #
      # for outbound packets on enigma
      add esp spi 0x8bcd1407 \
         src 192.168.116.16 dst 192.168.13.213  \
         encr_alg aes \
         auth_alg sha512  \
         encrkey  d41fb74470271826a8e7a80d343cc5aa... \
         authkey  e896f8df7f78d6cab36c94ccf293f031...
      #
      # for inbound packets
      add esp spi 0x122a43e4 \
         src 192.168.13.213 dst 192.168.116.16 \
         encr_alg aes \
         auth_alg sha512  \
         encrkey dd325c5c137fb4739a55c9b3a1747baa... \
         authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...

   2. 読み取り専用ファイルを保護します。

      # chmod 400 /etc/inet/secret/ipseckeys

      pfedit -s コマンドを使用して ipseckeys ファイルを作成した場合は、権限が正しく設定されています。詳細は、pfedit(1M) のマニュアルページを参照してください。

   3. ファイルの構文を確認します。

      # ipseckey -c /etc/inet/secret/ipseckeys

   ---

   注 - 2 つのシステムの鍵は同じでなければなりません。

   ---

3. IPsec の鍵をアクティブにします。
   • manual-key サービスが有効になっていない場合は有効にします。

     % svcs manual-key
     STATE          STIME    FMRI
     disabled       Apr_10   svc:/network/ipsec/manual-key:default
     # svcadm enable ipsec/manual-key

   • manual-key サービスが有効になっている場合はリフレッシュします。

     # svcadm refresh ipsec/manual-key

次のステップ

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。