鍵交換ポリシー

IKE は、動的鍵管理の機能を提供するために鍵交換ポリシーを必要とします。このポリシーには、鍵のネゴシエーションの実行方法 (IKEv1 または IKEv2 を使用)、ネゴシエーションの保護方法、およびどのホストが鍵のネゴシエーション可能かについての定義が含まれています。 鍵交換ポリシーが存在しなくてもエラーとは見なされませんが、これがないと、IKE デーモンは動的鍵管理の機能を提供できません。

鍵交換ポリシーは、鍵交換規則の番号付きリストから成っています。鍵交換規則は、一組のセキュリティー・エンドポイントと、2 つのセキュリティー・エンドポイントが IKE フェーズ 1 ネゴシエーションに関与するときに取るべきアクションから成っています。

オプションとして、鍵交換規則にはその規則内で記述されている 2 つのネゴシエーションするエンティティーのみに知らされている、共有秘密鍵を含めることができます。IKE ネゴシエーションが開始されると、現行の鍵交換規則リストを検索して、以下の 4 つの基準に基づいて一致しているかどうかチェックされます。

• ローカル IKE ピアの身元 (判明している場合)
• リモート IKE ピアの身元 (判明している場合)
• ローカル IKE ピアのロケーション (IP アドレス)。これは、ローカル・ピアを識別するためにロケーションが必要な場合、またはローカルの身元が判明していない場合です。
• リモート IKE ピアのロケーション (IP アドレス)。これは、そのロケーションの識別が必要とされる場合、またはリモートの身元が既知でない場合です。

以下に示すのは、KeyExchangeRule ブロックのサンプルであり、これにより、9.2.2.2 および 9.4.4.4 にある 2 つの IKE デーモン間の IKE ネゴシエーションを許可します。 サンプルの後で、サンプル内の各行について説明します。

1   KeyExchangeRule             ZoneB_KeyExRule1
2   {
3      LocalSecurityEndpoint
4      {
5         Identity              IpAddr 9.2.2.2
6         Location              9.2.2.2
7      }
8      RemoteSecurityEndpoint
9      {
10        Identity              X500dn CN=ZoneB Cert,T=IKE ServerB,OU=endicott,O=ibm,C=US
11        Location              9.4.0.0/16
12        CaLabel               CA4endicott
13     }
14     KeyExchangeActionRef     Gold-RSA
15     SharedKey                Ascii TheEagleHasLanded
16 }

行

説明

1

KeyExchangeRule キーワードと、それに続く必須のユーザー定義名。

2

左中括弧 ({) は、KeyExchangeRule ステートメント・ブロックの始めを示します。

3

LocalSecurityEndpoint ステートメントは、ローカル・セキュリティー・エンドポイント、つまりローカル IKE ピアを識別します。

4

左中括弧 ({) は、LocalSecurityEndpoint ステートメント・ブロックの始めを示します。

5

この規則に一致していなければならないローカル・セキュリティー・エンドポイントの身元。これは、以下に示す 5 つのタイプのいずれかです。

• Fqdn
• IpAddr
• KeyID
• UserAtFqdn
• X500dn

上記の例では、Identity 値 (身元値) として IP アドレスを使用しています。

6

ローカル IKE ピアの IP アドレス。

7

右中括弧 (}) は、LocalSecurityEndpoint ステートメント・ブロックの終わりを示します。

8

RemoteSecurityEndpoint ステートメントは、リモート・セキュリティー・エンドポイント、つまりリモート IKE ピアを識別します。RemoteSecurityEndpoint ステートメントで、Identity (身元) と Location (ロケーション) にワイルドカード値を使用することにより、リモート IKE ピアの関連グループを定義することもできます。

9

左中括弧 ({) は、RemoteSecurityEndpoint ステートメント・ブロックの始めを示します。

10

この規則に一致していなければならないリモート・セキュリティー・エンドポイントの身元。これは、以下に示す 5 つのタイプのいずれかです。

• Fqdn
• IpAddr
• KeyID
• UserAtFqdn
• X500dn

上記の例では、Identity 値 (身元値) として X.500 識別名 (DN) を使用しています。

11

リモート IKE ピアのグループを定義する IP サブネットワーク。

12

デジタル署名ピア認証の場合のみ使用されます。これは、リモート・セキュリティー・エンドポイントに対して受け入れ可能な認証局として公示されている認証局を指定します。このパラメーターの値は、RACF® で定義されている認証局のラベルでなければなりません。CaLabel パラメーターは複数回指定できます。

13

右中括弧 (}) は、RemoteSecurityEndpoint ステートメントの終わりを示します。

14

共通 IP セキュリティー構成ファイルまたはスタック固有 IP セキュリティー構成ファイル内の別の場所で定義されている鍵交換アクション (下記を参照) に対する参照。

KeyExchangeAction            Gold-RSA
{
   HowToInitiate              main
   HowToRespondIKEv1          main
   KeyExchangeOffer
   {
      HowToEncrypt               3DES
      HowToAuthMsgs              SHA1
      HowToAuthPeers             RsaSignature
   }
}

KeyExchangeAction ステートメントは、2 つのセキュリティー・エンドポイント間のフェーズ 1 ネゴシエーションを規定する詳細パラメーター (例えば、誰がネゴシエーションを開始できるか、およびどのタイプの暗号化を使用するか) を指定します。

15

事前共有秘密鍵ホスト認証の場合のみ使用される、オプションの共有秘密鍵。

16

右中括弧 (}) は、KeyExchangeRule ステートメント・ブロックの終わりを示します。