IKEv2 は IKEv1 の後継です。比較については、IKEv2 と IKEv1 の比較を参照してください。
次の表は、IKEv2 ポリシーの構成ファイル、IKEv2 鍵の保管場所、および IKEv2 を実装する各種コマンドとサービスについてまとめたものです。サービスの詳細については、Oracle Solaris 11.3 でのシステムサービスの管理 の 第 1 章, サービス管理機能の概要を参照してください。
|
サービス管理機能 (SMF) は、IKEv2 を管理するための svc:/network/ipsec/ike:ikev2 サービスインスタンスを提供します。デフォルトでは、このサービスは無効になっています。このサービスを有効にする前に、/etc/inet/ike/ikev2.config ファイル内に有効な IKEv2 構成を作成する必要があります。
次の ike:ikev2 サービスプロパティーは構成可能です。
config_file プロパティー – IKEv2 構成ファイルの場所を指定します。初期値は /etc/inet/ike/ikev2.config です。このファイルは特殊な権限を持ち、ikeuser に所有されている必要があります。別のファイルを使用しないでください。
debug_level プロパティー – in.ikev2d デーモンのデバッグレベルを設定します。初期値は op (動作)です。指定可能な値については、ikeadm(1M) のマニュアルページで、オブジェクトタイプの下にあるデバッグレベルの表を参照してください。
debug_logfile プロパティー – IKEv2 をデバッグするためのログファイルの場所を指定します。初期値は /var/log/ikev2/in.ikev2d.log です。
kmf_policy プロパティー – 証明書ポリシーのためのログファイルの場所を設定します。デフォルト値は /etc/inet/ike/kmf-policy.xml です。このファイルは特殊な権限を持ち、ikeuser に所有されている必要があります。別のファイルを使用しないでください。
pkcs11_token/pin プロパティー – IKEv2 デーモンの起動時にキーストアへのログインに使用する PIN を設定します。この値は、ikev2cert setpin コマンドでトークンに設定した値と一致する必要があります。
pkcs11_token/uri プロパティー – キーストアへの PKCS #11 URI を設定します。暗号化アクセラレータカード上のハードウェアストレージを使用するには、この値を指定する必要があります。
SMF については、Oracle Solaris 11.3 でのシステムサービスの管理 の 第 1 章, サービス管理機能の概要を参照してください。smf(5)、svcadm(1M)、および svccfg(1M) のマニュアルページも参照してください。
in.ikev2d デーモンは、Oracle Solaris システム上で IPsec の暗号化鍵の管理を自動化します。また、同じプロトコルを実行するリモートシステムとのネゴシエーションを行い、認証された鍵情報が、保護された方法でセキュリティーアソシエーション (SA) に提供されます。このデーモンは、IKEv2 プロトコルを使用して通信を保護するために IPsec の使用を予定しているすべてのシステム上で実行されている必要があります。
デフォルトでは、svc:/network/ipsec/ike:ikev2 サービスは有効になっていません。/etc/inet/ike/ikev2.config ファイルを構成して ike:ikev2 サービスインスタンスを有効にすると、システムブート時に SMF が in.ikev2d デーモンを起動します。
IKEv2 デーモンを実行すると、システムはそのピア IKEv2 エンティティーに対して自分自身を認証し、セッション鍵を確立します。構成ファイルで指定した間隔で、IKE 鍵が自動的に置き換えられます。in.ikev2d デーモンは、ネットワークからの着信 IKE 要求と PF_KEY ソケット経由のアウトバウンドトラフィックの要求を待機します。詳細は、pf_key(7P) のマニュアルページを参照してください。
2 つのコマンドが IKEv2 デーモンをサポートします。ikeadm コマンドを使用して IKE ポリシーを表示できます。詳細は、IKEv2 の ikeadm コマンドを参照してください。ikev2cert コマンドでは、公開鍵証明書と非公開鍵証明書を表示および管理できます。詳細は、IKEv2 ikev2cert コマンドを参照してください。
IKEv2 構成ファイル /etc/inet/ike/ikev2.config は、IPsec ポリシーファイル /etc/inet/ipsecinit.conf で保護されている、指定されたネットワークエンドポイントの鍵をネゴシエートするのに使用されるルールを管理します。
IKE での鍵管理には、ルールとグローバルパラメータが関係します。IKE ルールは、その鍵情報で保護するシステムやネットワークを識別します。さらに、ルールは認証方式も指定します。グローバルパラメータには、IKEv2 SA の鍵が再生成されるまでのデフォルトの時間 ikesa_lifetime_secs などの項目が含まれます。IKEv2 構成ファイルの例については、事前共有鍵による IKEv2 の構成を参照してください。IKEv2 ポリシーエントリの例と説明については、ikev2.config(4) のマニュアルページを参照してください。
IKEv2 がサポートする IPsec SA は、IPsec 構成ファイル /etc/inet/ipsecinit.conf のポリシーに従って IP パケットを保護します。
ike/ikev2.config ファイルのセキュリティーに関する注意点は、ipsecinit.conf ファイルの注意点と同様です。詳細は、ipsecinit.conf と ipsecconf のセキュリティーについてを参照してください。
in.ikev2d デーモンの実行中は、ikeadm [-v2] コマンドを使用して次を実行できます。
IKEv2 状態の要素の表示。
ポリシー規則、事前共有鍵、使用可能な Diffie-Hellman グループ、暗号化アルゴリズムと認証アルゴリズム、および既存のアクティブな IKEv2 SA などの IKEv2 デーモンオブジェクトの表示。
このコマンドのオプションの例と詳しい説明については、ikeadm(1M) のマニュアルページを参照してください。
ikeadm コマンドのセキュリティーについては、ipseckey コマンドのセキュリティーと同様です。詳細は、ipseckey におけるセキュリティーについてを参照してください。
/etc/inet/ike/ikev2.preshared には、IKEv2 サービスによって使用される事前共有鍵が含まれます。このファイルは ikeuser によって所有され、0600 で保護されます。
ike/ikev2.config ファイル内で事前共有鍵を要求するルールを構成する場合は、デフォルトの ikev2.preshared ファイルをカスタマイズする必要があります。IKEv2 はこれらの事前共有鍵を使用して IKEv2 ピアを認証するため、このファイルは in.ikev2d デーモンが事前共有鍵を要求するルールを読み込む前に有効になっている必要があります。
ikev2cert コマンドは、公開および非公開の鍵および証明書を生成、格納、および管理するのに使用されます。このコマンドは、ike/ikev2.config ファイルが公開鍵証明書を要求するときに使用します。IKEv2 はこれらの証明書を使用して IKEv2 ピアを認証するため、証明書は in.ikev2d デーモンがその証明書を要求するルールを読み込む前に適用されている必要があります。
ikev2cert コマンドは pktool コマンドを ikeuser として呼び出します。
次の ikev2cert コマンドは IKEv2 の証明書を管理します。このコマンドは ikeuser アカウントによって実行される必要があります。結果は PKCS #11 ソフトトークンキーストアに格納されます。
ikev2cert setpin – ikeuser ユーザーの PIN を生成します。この PIN は証明書を使用する際に必要です。
ikev2cert gencert – 自己署名付き証明書を生成します。
ikev2cert gencsr – 証明書署名要求 (CSR) を生成します。
ikev2cert list – キーストア内の証明書を一覧表示します。
ikev2cert export – エクスポート用ファイルに証明書をエクスポートします。
ikev2cert import – 証明書または CRL をインポートします。
ikev2cert サブコマンドの構文については、pktool(1) のマニュアルページを参照してください。例については、ikev2cert(1M) のマニュアルページを参照してください。ソフトトークンキーストアについては、cryptoadm(1M) のマニュアルページを参照してください。