4 Cấu hình sự mã hoá và IPSec
4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE:
Phụ thuộc vào phương pháp chứng thực nào mà ban chỉ định trong những
chính sách của bạn, bạn cần hoàn thành một cấu hình bổ xung trước khi IKE và IPSec có thể cấu hình thành công sử dụng những chính sách IKE.
Mỗi phương pháp chứng thực đòi hỏi một cấu hình được thêm vào như theo sau đây:
Phương pháp giải thuật RSA:
Nếu bạn chỉ định giải thuật RSA như là phương pháp chứng thực
trong một chính sách, bạn phải cấu hình tương đương để đạt được
chứng nhận từ một trung tâm chứng nhận uỷ quyền (CA).
Chứng nhận thì được sử dụng bởi mỗi sự tương đương để đảm bảo
chắc chắn trao đổi những chìa khoá công cộng. Khi cả những thiết
bị cùng giao thức và hợp lệ được chứng nhận, chúng sẽ tự động trao đổi những chìa khoá công cộng với một thiết bị mạng khác như là phần của bất kỳ sự thoả thuận IKE trong nhận dạng RSA thì
được sử dụng.
Phương pháp mã hoá RSA.
Nếu bạn chỉ định RSA được mã hoá như là phương pháp xác thực
trong một chính sách. Bạn cần phải chắc chắn rằng mỗi thiết bị
mạng cùng giao thức có những chìa khóa công cộng của cùng một
giao thức khác.
Không giống như giải thuật RSA, phương pháp mã hoá RSA không sử dụng chứng nhận để trao đổi những chìa khoá công cộng.
- Chắc chắn rằng một IKE trao đổi đang sử dụng giải thuật
RSA ngay khi xuất hiện giữa những thiết bị mạng có cùng giao thức.
- Để làm cho điều này xảy ra, chỉ định hai chính sách: một chính sách có độ ưu tiên cao với Mã hoá RSA hiện tại, và một chính sách có độ ưu tiên thấp với Giải thuật RSA. Khi
những sự điều chỉng IKE xuất hiện, Giải thuật RSA sẽ được
sử dụng đầu tiên bởi vì những thiết bị mạng ngang hang còn
chưa có những chìa khoá công cộng khác. Rồi, tương lai sự điều chỉnh IKE sẽ được sử dụng Mã hoá RSA hiện tại bởi vì những chìa khoá công cộng sẽ được trao đổi.
Dĩ nhiên, thay thế này yêu cầu rằng bạn có CA hỗ trợ cấu
hình.
Phương pháp chứng thực Những khoá dùng chung
Nếu bạn chỉ định Những khoá dùng chung như là phương pháp
chứng thực trong một chính sách, bạn phải cấu hình Những khoá
dùng chung này.
Phương pháp chứng thực chứng chỉ số:
Nếu bạn chỉ định những chứng chỉ số như là phương pháp chứng thực
trong một chính sách, CA phải được đúng cách cấu hình để đưa ra chứng nhận.
Bạn cũng phải cấu hình cho những thiết bị mạng cùng giao thức để thu được sự
chứng nhận từ CA.
Những chứng nhận số đơn giản hoá sự chứng thực. Bạn cần chỉ kết nạp
mỗi thiết bị mạng cùng giao thức với CA, hơn là việc định cấu hình bằng tay cho
mỗi thiết bị mạng cùng giao thức để trao đổi những chìa khóa.