次のセクションでは、IKEv1 の概要について説明します。IKEv1 は、より高速でセキュリティー保護された鍵管理を提供する IKEv2 に置き換わっています。IKEv2 については、IKEv2 プロトコルを参照してください。比較については、IKEv2 と IKEv1 の比較を参照してください。両方のプロトコルに共通する情報については、IKE の概要を参照してください。IKEv1 と IKEv2 は同時に実行可能で、ほかのシステム上のピアプロトコルとネゴシエートできます。
IKEv1 デーモン in.iked は、セキュアな方法で鍵をネゴシエートして IPsec SA を認証します。IKEv1 は Perfect Forward Secrecy (PFS) を提供します。PFS では、データ伝送を保護する鍵を使用しないで追加鍵を取得します。また、データ伝送の鍵の作成に使用するシードを再利用しません。in.iked(1M) のマニュアルページを参照してください。
IKEv1 プロトコルには 2 つのフェーズがあります。Oracle Solaris は、メインモードフェーズ 1 交換をサポートしています。メインモード交換は、2 つのピア間で ISAKMP セキュリティーアソシエーション (SA) を作成するのに使用できるパラメータをネゴシエートします。この ISAKMP SA は非対称の暗号化を使用して鍵情報を交換し、事前共有鍵または公開鍵証明書を使用してピアを認証します。IPsec SA とは異なり、ISAKMP SA は双方向であるため、1 つの SA だけ必要です。
フェーズ 1 交換での IKEv1 による ISAKAMP SA のネゴシエート方法は構成可能です。IKEv1 は、/etc/inet/ike/config ファイルから構成情報を読み取ります。次の構成情報があります。
グローバルパラメータ (公開鍵証明書の名前など)
Perfect Forward Secrecy (PFS) が必要かどうか
このシステムの IKE ピア
フェーズ 1 交換を保護するアルゴリズム
認証方式
認証方式には、事前共有鍵と公開鍵証明書の 2 つがあります。公開鍵証明書は、自己署名することも認証局 (CA) に発行してもらうこともできます。
詳細は、ike.config(4) のマニュアルページを参照してください。
フェーズ 2 交換はクイックモードと呼ばれます。クイックモード交換は、IPsec SA を作成するのに必要な IPsec アルゴリズムと鍵情報をネゴシエートします。この交換はフェーズ 1 でネゴシエートされる ISAKMP SA によって保護 (暗号化) されています。
クイックモード交換のアルゴリズムおよびセキュリティープロトコルは、IPsec ポリシーファイル /etc/inet/ipsecinit.conf から取得されます。
IPsec SA は期限が切れると鍵が再生成されます。SA のライフタイムは、IPsec SA の作成時に in.iked デーモンによって設定されます。この値は構成可能です。
詳細は、ipsecconf(1M) および in.iked(1M) のマニュアルページを参照してください。
/etc/inet/ike/config 構成ファイルには、in.iked デーモンの構成が含まれています。構成はいくつかのルールで構成されています。各エントリには、このシステムが同様に構成された IKEv1 ピアに対して使用できるアルゴリズムや認証データなどのパラメータが含まれます。in.iked デーモンは、事前共有鍵および識別情報の公開鍵証明書をサポートしています。
エントリ auth_method preshared は、事前共有鍵が使用されることを示します。auth_method の値が preshared 以外の場合には、公開鍵証明書が使用されることを示します。
IKEv1 では、事前共有鍵は特定の IP アドレスまたはアドレス範囲に関連付けられています。鍵は、各システムの /etc/inet/secret/ike.preshared ファイルに保存されます。
詳細は、IKE の動作および ike.config(4) と ike.preshared(4) のマニュアルページを参照してください。