このセクションでは、IKEv2 の実装について説明します。IKEv1 については、IKEv1 プロトコルを参照してください。比較については、IKEv2 と IKEv1 の比較を参照してください。両方のプロトコルに適用される情報については、IKE の概要を参照してください。Oracle Solaris は、IKE プロトコルの両方のバージョンを同時にサポートします。
IKEv2 デーモン in.ikev2d は、IPsec SA の鍵情報をネゴシエートして認証します。in.ikev2d(1M) のマニュアルページを参照してください。
/etc/inet/ike/ikev2.config 構成ファイルには、in.ikev2d デーモンの構成が含まれています。構成はいくつかのルールで構成されています。各エントリには、このシステムが同様に構成された IKEv2 ピアに対して使用できるアルゴリズムや認証データなどのパラメータが含まれます。
in.ikev2d デーモンは、事前共有鍵 (PSK) および識別情報の公開鍵証明書をサポートしています。
ikev2.config(4) のマニュアルページにサンプルルールが提供されています。各ルールには一意のラベルが必要です。次は、マニュアルページのサンプルルールの説明ラベルのリストです。
IP 識別情報および PSK 認証
IP アドレス接頭辞および PSK 認証
IPv6 アドレス接頭辞および PSK 認証
DN 識別情報による証明書認証
多くのピア ID タイプによる証明書認証
ワイルドカードピア ID による証明書認証
オーバーライド変換
混合した認証タイプ
ワイルドカードと要求される署名者
kmf-policy.xml ファイルには IKEv2 の証明書検証ポリシーが含まれています。kmfcfg dbfile=/etc/inet/ike/kmf-policy.xml policy=default コマンドは、証明書検証ポリシーを変更するときに使用します。一般的な変更には、OCSP および CRL の使用、証明書検証中のネットワークタイムアウトの時間などがあります。また、管理者はポリシーによって有効日付の適用や鍵の使用要件など、証明書検証のさまざまな要素を変更できます。証明書検証のデフォルト要件をゆるめることはお勧めしません。
FIPS 140-2 が有効になったシステムでは、証明書を作成して IKEv2 を構成するとき、ユーザーが FIPS 140-2 承認アルゴリズムのみを使用するように選択する責任があります。このガイドの手順と例では、アルゴリズム any が指定されている場合を除き、FIPS 140-2 承認アルゴリズムを使用します。
次の暗号化アルゴリズムメカニズムは IKEv2 構成および事前共有鍵ファイルで利用可能であり、FIPS 140-2 モード の Oracle Solaris で使用することが承認されています。
鍵の長さが 128-256 ビットの CBC モードの AES
3DES
次の認証アルゴリズムメカニズムは IKEv2 構成および事前共有鍵ファイルで利用可能であり、FIPS 140-2 モード の Oracle Solaris で使用することが承認されています。
SHA1
SHA256
SHA384
SHA512
次のメカニズムは IKEv2 証明書で利用可能であり、FIPS 140-2 モード の Oracle Solaris で使用することが承認されています。
鍵の長さが 2048-3072 ビットの RSA
3 つの可能な曲線とそれに関連付けられたハッシュによる ECC を使用する ECDSA –
ikev2cert gencert および ikev2cert gencsr コマンドの引数は次のようになります。
keytype=ec curve=secp256r1 hash=sha256
keytype=ec curve= secp384r1 hash=sha384
keytype=ec curve=secp521r1 hash=sha512
詳細は、ikev2cert(1M) のマニュアルページを参照してください。
Oracle Solaris についての FIPS 140-2 承認アルゴリズムの最終的なリストについては、Oracle Solaris 11.3 での FIPS 140 対応システムの使用 の Oracle Solaris システムでの FIPS 140-2 レベル 1 証明書のリファレンスを参照してください。