Mehrere IKEv2-Tunnel unter Verwendung desselben digitalen Zertifikats konfigurieren

Online bearbeiten

Sie können das gleiche digitale Zertifikat über mehrere IKEv2-Tunnel (Internet Key Exchange Version 2) verwenden.

Ab AIX® Version 7.2 Technology Level 5 können Sie dieselben digitalen Zertifikate an einem bestimmten Endpunkt verwenden, um mehrere IKEv2 -Tunnel zu konfigurieren, wenn Sie digitale RSA-Signaturen in der Konfiguration Phase1 für IKEv2verwenden. Die folgende Abbildung zeigt eine solche IKEv2-IPSec-Tunnelkonfiguration:
Abb. 1. Beispiel für IKEv2-IP-Sicherheitstunnel
Beispiel für IKEv2-IP-Sicherheitstunnel

In dieser Beispielkonfiguration verwendet System A das /CN=CERT-A -Zertifikat für drei IKEv2-IPsec-Tunnel, Tunnel-1, Tunnel-2und Tunnel-3. Zwei IKEv2 -IPsec-Tunnel von System A sind System Bzugeordnet und ein IKEv2 -IPsec-Tunnel ist System Czugeordnet. Daher verwendet System A dasselbe /CN=CERT-A -Zertifikat für System B und System C. System A verfügt über ein weiteres Zertifikat, /CN=CERT-G, das für zwei IKEv2 -IPsec-Tunnel Tunnel-4 und Tunnel-5 verwendet wird, die System Dzugeordnet sind.

Beachten Sie die folgenden Richtlinien, um dasselbe IKEv2-Zertifikat über mehrere IKEv2-IPsec-Tunnel zu verwenden, wie in der Abbildung 1 gezeigt:
  • Dieser Typ von IKEv2 -IPsec-Tunnelkonfiguration wird nur für das Protokoll IKEv2 unter dem Betriebssystem AIX unterstützt. Diese Tunnelkonfiguration unterstützt das IKEv1-Protokoll nicht. Daher können Sie IKEv1-IPsec-Tunnel für diese Konfiguration nicht verwenden. Wenn Sie diesen Typ der IKEv2-IPsec-Tunnelkonfiguration verwenden möchten, starten Sie die Ikev2-Dämonen mit den folgenden Befehlen:
    startsrc -s tmd; startsrc -s ikev2d; startsrc -s cpsd
  • Dieser Typ der IKEv2-IPsec-Tunnelkonfiguration unterstützt die digitalen Signaturen von Rivest-Shamir-Adleman-Algorithmen (RSA), die nur mit den ASN1_DN -Elementen in der Tunneldefinition der Phase1-Konfiguration konfiguriert werden. Weitere Informationen finden Sie unter IKE-Tunnel unter Verwendung digitaler Zertifikate erstellen. Eine Kombination aus vollständig qualifizierten Domänennamen (FQDN) und einem vorab gemeinsam genutzten Schlüssel (PSK) wird nicht unterstützt. Darüber hinaus werden die ASN1_DN -Elemente in der Tunneldefinition in der IKE-Gruppe in dieser Konfigurationskonfiguration nicht unterstützt.
  • Dieser Typ von IKEv2 -IPsec-Tunnelkonfiguration unterstützt die Option remid im Unterbefehl activate des Befehls ike nicht. Der folgende Befehl wird zum Beispiel nicht unterstützt:
    ike cmd=activate phase=1 remid=/c=IN/o=IBM/ou=ISL/cn=CERT-B
    Alternativ können Sie den folgenden Befehl mit IKEv2-Zertifikaten verwenden, um den erforderlichen Tunnel zu aktivieren:
    ike cmd=activate numlist=2
Das folgende Snippet ist ein Beispiel für die Key-Management-Sicherheitszuordnung (auch als Phase1-Konfiguration bezeichnet) in System A , die IKEv2-IPsec-Tunnel definiert, in denen das gleiche IKEv2-Zertifikat für mehrere IKEv2-IPsec-Tunnel verwendet wird:
<IKETunnel
         IKE_TunnelName="Phase1Tunnel1"
         IKE_ProtectionRef="Phase1Tunnel1Pol"
         IKE_Flags_AutoStart="No"
         IKE_Flags_MakeRuleWithOptionalIP="Yes">
      <IKELocalIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-A">
            <IPV4_Address
                  Value="1.1.1.1"/>
         </ASN1_DN>
      </IKELocalIdentity>
      <IKERemoteIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-B">
            <IPV4_Address
                  Value="1.1.1.2"/>
         </ASN1_DN>
      </IKERemoteIdentity>
   </IKETunnel>

<IKETunnel
         IKE_TunnelName="Phase1Tunnel2"
         IKE_ProtectionRef="Phase1Tunnel2Pol"
         IKE_Flags_AutoStart="No"
         IKE_Flags_MakeRuleWithOptionalIP="Yes">
      <IKELocalIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-A">
            <IPV4_Address
                  Value="2.2.2.2"/>
         </ASN1_DN>
      </IKELocalIdentity>
      <IKERemoteIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-B">
            <IPV4_Address
                  Value="2.2.2.3"/>
         </ASN1_DN>
      </IKERemoteIdentity>
   </IKETunnel>

<IKETunnel
         IKE_TunnelName="Phase1Tunnel3"
         IKE_ProtectionRef="Phase1Tunnel3Pol"
         IKE_Flags_AutoStart="No"
         IKE_Flags_MakeRuleWithOptionalIP="Yes">
      <IKELocalIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-A">
            <IPV4_Address
                  Value="3.3.3.3"/>
         </ASN1_DN>
      </IKELocalIdentity>
      <IKERemoteIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-C">
            <IPV4_Address
                  Value="3.3.3.4"/>
         </ASN1_DN>
      </IKERemoteIdentity>
   </IKETunnel>

<IKETunnel
         IKE_TunnelName="Phase1Tunnel4"
         IKE_ProtectionRef="Phase1Tunnel4Pol"
         IKE_Flags_AutoStart="No"
         IKE_Flags_MakeRuleWithOptionalIP="Yes">
      <IKELocalIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-G">
            <IPV4_Address
                  Value="4.4.4.4"/>
         </ASN1_DN>
      </IKELocalIdentity>
      <IKERemoteIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-D">
            <IPV4_Address
                  Value="4.4.4.5"/>
         </ASN1_DN>
      </IKERemoteIdentity>
   </IKETunnel>

<IKETunnel
         IKE_TunnelName="Phase1Tunnel5"
         IKE_ProtectionRef="Phase1Tunnel5Pol"
         IKE_Flags_AutoStart="No"
         IKE_Flags_MakeRuleWithOptionalIP="Yes">
      <IKELocalIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-G">
            <IPV4_Address
                  Value="5.5.5.5"/>
         </ASN1_DN>
      </IKELocalIdentity>
      <IKERemoteIdentity>
         <ASN1_DN
               Value="/c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-E">
            <IPV4_Address
                  Value="5.5.5.6"/>
         </ASN1_DN>
      </IKERemoteIdentity>
   </IKETunnel>
Jeder IKEv2-IPsec-Tunnel im Beispiel-Snippet kann auf die folgenden Arten in die IKE-Datenbank hochgeladen werden:
  • Jedes XML-Element <IKETunnel> wird zusammen mit der entsprechenden Phase2 -Konfiguration in einer separaten XML-Datei definiert. Sie können diesen Typ der IKEv2-Tunneldefinition mit dem folgenden Befehl für jede XML-Datei hochladen:
    ikedb -p file.xml
  • Alle <IKETunnel> -XML-Elemente werden zusammen mit der entsprechenden Phase2 -Konfiguration und anderen erforderlichen Konfigurationseinstellungen in einer einzigen XML-Datei definiert. Sie können diesen Typ der IKEv2-Tunneldefinition mit dem folgenden Befehl hochladen:
    ikedb -p single_combined_file.xml
Wenn Sie im Beispiel für die Konfiguration des IP-Sicherheitstunnels IKEv2 in Abbildung 1den Befehl ike cmd=list in System Aausführen, könnte die Ausgabe dem folgenden Beispiel ähneln:
ike cmd=list
Phase  Tun Id  Status      Local Id                        Remote Id
1      1       Active      /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-A  /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-B
2      1       Active      1.1.1.1-1.1.1.1                 1.1.1.2-1.1.1.2

Phase  Tun Id  Status      Local Id                        Remote Id
1      2       Active      /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-A  /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-B
2      2       Active      2.2.2.2-2.2.2.2                 2.2.2.3-2.2.2.3

Phase  Tun Id  Status      Local Id                        Remote Id
1      3       Active      /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-A  /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-C
2      3       Active      3.3.3.3-3.3.3.3                 3.3.3.4-3.3.3.4

Phase  Tun Id  Status      Local Id                        Remote Id
1      3       Active      /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-G  /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-D
2      3       Active      4.4.4.4-4.4.4.4                 4.4.4.5-4.4.4.5

Phase  Tun Id  Status      Local Id                        Remote Id
1      3       Active      /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-G  /c=IN/st=KA/l=BA/o=IBM/ou=ISL/cn=CERT-E
2      3       Active      5.5.5.5-5.5.5.5                 5.5.5.6-5.5.5.6