次の手順は、鍵の管理に使用しているのが IKE だけではない場合に IPsec 鍵を提供します。
ipseckey コマンドを使用して追加された IPsec SA には永続性がなく、システムのリブート時に失われます。IPsec SA に永続性を持たせるために、/etc/inet/secret/ipseckeys ファイルにエントリを追加します。
注意 - 手動で鍵処理をする必要がある場合は、生成する鍵が確実にセキュアであるように細心の注意を払う必要があります。これらの鍵は、データのセキュリティー保護に実際に使用されます。 |
始める前に
共有 IP ゾーンの鍵情報の手動管理は、大域ゾーンで行う必要があります。排他的 IP ゾーンの場合は、鍵情報をその排他的 IP ゾーンで構成します。
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
鍵は、ipsecinit.conf ファイル内の特定のポリシーをサポートしている必要があります。たとえば、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法のポリシーを使用することもできます。
{laddr host1 raddr host2} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
このポリシーは AES および SHA-2 アルゴリズムを使用します。
SA 用に、aes、sha512、および security parameter index (SPI) の鍵を生成する必要があります。
SPI の値として、2 つの 16 進数の乱数。1 つはアウトバウンドトラフィック用です。もう 1 つはインバウンドトラフィック用です。それぞれの乱数の最大桁数は 8 桁です。
SHA-2 認証アルゴリズム用の 2 つの 16 進数の乱数。各数字の長さは 512 文字でなければいけません。もう 1 つは dst host1 用です。もう 1 つは dst host2 用です。
AES 暗号化アルゴリズム用の 2 つの 16 進数の乱数。各数字の長さは 128 文字でなければいけません。もう 1 つは dst host1 用です。もう 1 つは dst host2 用です。
乱数発生関数がすでにある場合は、それを使用してください。
Oracle Solaris 11.3 での暗号化と証明書の管理 の pktool コマンドを使用して対称鍵を生成する方法とそのセクションの IPsec の例に示すように、pktool コマンドを使用します。
## ipseckeys - This file takes the file format documented in ## ipseckey(8). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # Backslashes indicate command continuation. # # for outbound packets on host1 add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha512 \ encrkey abcdefabcdefabcdefabcdefabcdefab... \ authkey 12345678128456789123456789123456... # # for inbound packets add esp spi 0xnnnnnnnn \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha512 \ encrkey fedcbafedcbafedcbafedcbafedcbafe... \ authkey 98765432123456789876543212345678...
# chmod 400 /etc/inet/secret/ipseckeys
pfedit -s コマンドを使用して ipseckeys ファイルを作成した場合は、権限が正しく設定されています。詳細は、pfedit(1M) のマニュアルページを参照してください。
# ipseckey -c /etc/inet/secret/ipseckeys
% svcs manual-key STATE STIME FMRI disabled Apr_10 svc:/network/ipsec/manual-key:default # svcadm enable ipsec/manual-key
# svcadm refresh ipsec/manual-key
次のステップ
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。