第22 章• Internet 密钥交换(概述) 493
IKE,使用公钥证书
使用公钥证书,通信系统就无需在带外共享秘密的加密材料。公钥使用Diffie-Hellman
protocol(Diffie-Hellman 协议) (DH) 来验证和协商密钥。公钥证书有两种类型。这些证书
可以自签名,也可以由certificate authority, CA(证书颁发机构) 认证。
自签名的公钥证书由管理员创建。ikecert certlocal -ks 命令为系统创建公钥/私钥对的私
钥部分。然后,从远程系统获取X.509 格式的自签名证书输出。远程系统的证书是用于创建
密钥对的公钥部分的ikecert certdb 命令的输入。在通信系统上,自签名的证书驻留在
/etc/inet/ike/publickeys 目录中。使用-T 选项时,证书驻留在连接的硬件上。
自签名的证书介于预先共享的密钥和CA中间。与预先共享的密钥不同,自签名的证书可以
在移动机器或可能重新编号的系统上使用。要为没有固定编号的系统对证书自行签名,请
使用DNS () 或EMAIL () 替换名称。
公钥可以由PKI 或CA组织提供。在/etc/inet/ike/publickeys 目录中安装公钥及其相应的
CA。使用-T 选项时,证书驻留在连接的硬件上。供应商还发布证书撤销列表(certificate
revocation list, CRL)。除安装密钥和CA以外,您还负责在/etc/inet/ike/crls 目录中安装
CRL。
CA的优势在于由外部组织而不是由站点管理员认证。在某种意义上,CA是经过确认的证
书。与自签名的证书一样,CA可以在移动机器或可能重新编号的系统上使用。与自签名的
证书不同的是,CA可以非常容易地扩展以保护大量的通信系统。
IKE 和硬件加速
IKE 算法的计算开销很大,尤其是在阶段1 交换中。处理大量交换的系统可以使用Sun
Crypto 加速器1000 板处理公钥操作。也可以使用Sun Crypto 加速器4000 板处理开销很大的
阶段1 计算。
有关如何配置IKE 以将其计算转移到加速器板的信息,请参见第544 页中的“如何将IKE
配置为查找Sun Crypto 加速器1000 板”。有关如何存储密钥的信息,请参见第546 页中的
“如何将IKE 配置为查找Sun Crypto 加速器4000 板”和cryptoadm(1M) 手册页。
IKE 和硬件存储
公钥证书、私钥和公钥可以存储在Sun Crypto 加速器4000 板上。对于RSA加密,该板支持
最多2048 位的密钥。对于DSA加密,该板支持最多1024 位的密钥。
有关如何配置IKE 以访问该板的信息,请参见第544 页中的“如何将IKE 配置为查找Sun
Crypto 加速器1000 板”。有关如何向该板添加证书和公钥的信息,请参见第523 页中的“
如何在硬件上生成和存储公钥证书”。
IKE 和硬件加速
494 系统管理指南:IP 服务• 2006 年8 月
IKE 实用程序和文件
下表概述IKE 策略的配置文件、IKE 密钥的存储位置和实现IKE 的各种命令。
表22–2 IKE 配置文件、密钥存储位置和命令
文件、命令或位置说明更多信息
/usr/lib/inet/in.iked 守护进程Internet 密钥交换(Internet Key Exchange, IKE) 守护进程。激
活自动密钥管理。
in.iked(1M)
/usr/sbin/ikeadm 命令用于查看和修改IKE 策略的IKE 管理命令。ikeadm(1M)
/usr/sbin/ikecert 命令用于处理包含公钥证书的本地数据库的证书数据库管理命
令。这些数据库也可以存储在连接的Sun Crypto 加速器
4000 板上。
ikecert(1M)
ike/config 文件/etc/inet 目录中IKE 策略的配置文件。包含用于匹配传入
IKE 请求和准备外发IKE 请求的站点规则。如果存在此文
件,则in.iked 守护进程在引导时自动启动。
ike.config(4)
ike.preshared 文件/etc/inet/secret 目录中预先共享的密钥文件。包含用于
阶段1 交换中验证的秘密加密材料。在用预先共享的密钥
配置IKE 时使用。
ike.preshared(4)
ike.privatekeys 目录/etc/inet/secret 目录中的私钥目录。包含公钥/私钥对的
私钥部分。
ikecert(1M)
publickeys 目录/etc/inet/ike 目录中包含公钥和证书文件的目录。包含公
钥/私钥对的公钥部分。
ikecert(1M)
crls 目录/etc/inet/ike 目录中包含公钥和证书文件的撤销列表的目
录。
ikecert(1M)
Sun Crypto 加速器1000 板通过从操作系统转移操作来加速公钥操作的硬件。ikecert(1M)
Sun Crypto 加速器4000 板通过从操作系统转移操作来加速公钥操作的硬件。该板还
存储公钥、私钥和公钥证书。
ikecert(1M)
Solaris 10 发行版对IKE 的更改
从Solaris 9 发行版开始,IKE 包括以下功能:
可以使用IKE 在IPv6 网络中自动进行IPsec 的密钥交换。有关更多信息,请参见第
491 页中的“使用IKE 进行密钥管理”。
注– 不能使用IKE 在非全局区域中管理IPsec 的密钥。
Solaris 10 发行版对IKE 的更改
第22 章• Internet 密钥交换(概述) 495
IKE 中的公钥操作可以由Sun Crypto 加速器1000 板或Sun Crypto 加速器4000 板加速。有
关操作都被转移到该板中。这样将加快加密过程,从而降低对操作系统资源的需求。有
关更多信息,请参见第494 页中的“IKE 和硬件加速”。有关过程,请参见第544 页中
的“将IKE 配置为查找连接的硬件(任务列表)”。
公钥证书、私钥和公钥可以存储在Sun Crypto 加速器4000 板上。有关密钥存储的更多信
息,请参见第494 页中的“IKE 和硬件存储”。
可以使用IKE 从NAT 盒(NAT box) 之后自动进行IPsec 的密钥交换。通信流量必须使用
IPv4 网络。此外,遍历NAT 的IPsec ESP 密钥不能由硬件加速。有关更多信息,请参见
第450 页中的“IPsec 和NAT 遍历”。有关过程,请参见第531 页中的“为移动系统配
置IKE(任务列表)”。
重新传输参数和包超时参数已添加到/etc/inet/ike/config 文件中。这些参数调整IKE
阶段1(主模式)协商,以处理网络干扰、网络通信流量过大以及与具有IKE 协议的不
同实现的平台的交互操作。有关这些参数的详细信息,请参见ike.config(4) 手册页。
有关过程,请参见第548 页中的“更改IKE 传输参数(任务列表)”。
Solaris 10 发行版对IKE 的更改
496 系统管理指南:IP 服务• 2006 年8 月
配置IKE(任务)
本章介绍如何为系统配置IKE。配置IKE 后,它将自动为网络上的IPsec 生成加密材料。本
章包含以下信息:
第497 页中的“配置IKE(任务列表)”
第498 页中的“使用预先共享的密钥配置IKE(任务列表)”
第509 页中的“使用公钥证书配置IKE(任务列表)”
第531 页中的“为移动系统配置IKE(任务列表)”
第544 页中的“将IKE 配置为查找连接的硬件(任务列表)”
第548 页中的“更改IKE 传输参数(任务列表)”
有关IKE 的概述信息,请参见第22 章。有关IKE 的参考信息,请参见第24 章。有关更多过
程,请参见ikeadm(1M)、ikecert(1M) 和ike.config(4) 手册页的“示例”部分。
配置IKE(任务列表)
可以使用预先共享的密钥、自签名证书和证书颁发机构(Certificate Authority, CA) 所颁发的
证书来验证IKE。规则将特定的IKE 验证方法与受保护的端点相关联。因此,可以在系统上
使用一种或所有IKE 验证方法。利用指向PKCS #11 库的指针,证书可以使用连接的硬件加
速器。
配置IKE 后,完成使用IKE 配置的IPsec 任务。下表提供了着重说明特定IKE 配置的任务列
表。
任务说明参考
使用预先共享的密钥配置
IKE
通过使两个系统共享一个密钥来保护它们之间的
通信。
第498 页中的“使用预先共享的密钥配
置IKE(任务列表)”
使用公钥证书配置IKE 使用公钥证书保护通信。这些证书可以是自签名
的,也可以由PKI 组织认证。
第509 页中的“使用公钥证书配置IKE
(任务列表)”
23 第2 3 章
497
任务说明参考
跨NAT 边界将IPsec 和IKE 配置为与移动系统进行通信第531 页中的“为移动系统配置IKE(任
务列表)”
将IKE 配置为在连接的硬件
上生成和存储公钥证书
使Sun Crypto 加速器1000 板或Sun Crypto 加速器
4000 板可以加快IKE 操作。此外,使Sun Crypto
加速器4000 板可以存储公钥证书。
第544 页中的“将IKE 配置为查找连接
的硬件(任务列表)”
调整阶段1 密钥协商参数更改IKE 密钥协商的时间安排。第548 页中的“更改IKE 传输参数(任
务列表)”
使用预先共享的密钥配置IKE(任务列表)
下表包含使用预先共享的密钥配置和维护IKE 的过程的链接。
任务说明参考
使用预先共享的密钥配置
IKE
创建IKE 策略文件和要共享的一个密钥。第498 页中的“如何使用预先共享的密
钥配置IKE”
在正运行的IKE 系统上刷新
预先共享的密钥
在通信系统上为IKE 添加新的加密材料。第502 页中的“如何刷新IKE 预先共享
密钥”
将预先共享的密钥添加到正
运行的IKE 系统
将新的IKE 策略项和新的加密材料添加到当前实
施IKE 策略的系统。
第503 页中的“如何为ipsecinit.conf
中的新策略项添加IKE 预先共享密钥”
检查预先共享的密钥是否完
全相同
在两个系统上显示预先共享的密钥,以查看它们
是否完全相同。
第508 页中的“如何检验IKE 预先共享
密钥是否完全相同”
使用预先共享的密钥配置IKE
使用预先共享的密钥是验证IKE 的最简单方法。如果要将两个系统配置为使用IKE,而且您
是这两个系统的管理员,则使用预先共享的密钥是一个良好的选择。但是,与公钥证书不
同,预先共享的密钥与特定的IP 地址相关联。预先共享的密钥不能用于移动系统或可能重
新编号的系统。此外,在使用预先共享的密钥时,不能将IKE 计算转移到连接的硬件。
如何使用预先共享的密钥配置IKE
IKE 实现提供了采用可变密钥长度的算法。所选的密钥长度是由站点安全性确定的。通常,
密钥越长,提供的安全性就越高。
以下过程使用系统名称enigma 和partym。请用您的系统名称替换名称enigma 和partym。
使用预先共享的密钥配置IKE(任务列表)
498 系统管理指南:IP 服务• 2006 年8 月
在系统控制台上,承担主管理员角色或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建该角色并将角色指定给用户,请参
见《System Administration Guide: Basic Administration》中的第2 章,“WorkingWith the
Solaris Management Console (Tasks)”。
注– 远程登录会使安全关键型流量易于遭到窃听。即使以某种方式保护远程登录,系统的安
全性也会降至远程登录会话的安全性。
在每个系统上,将文件/etc/inet/ike/config.sample 复制到文件/etc/inet/ike/config。
在每个系统上的ike/config 文件中输入规则和全局参数。
此文件中的规则和全局参数应该允许系统的ipsecinit.conf 文件中的IPsec 策略可以成功实
施。以下ike/config 示例使用第456 页中的“如何使用IPsec 保证两个系统之间的通信安全
”中的ipsecinit.conf 示例。
a. 例如,在enigma 系统上修改/etc/inet/ike/config 文件:
### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Phase 1 transform defaults
p1_lifetime_secs 14400
p1_nonce_len 40
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
使用预先共享的密钥配置IKE
阅读(540) | 评论(0) | 转发(0) |