4 Cấu hình sự mã hoá và IPSec
4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE:
Phụ thuộc vào phương pháp chứng thực nào mà ban chỉ định trong những chính sách của bạn, bạn cần hoàn thành một cấu hình bổ xung trước khi IKE và IPSec có thể cấu hình thành công sử dụng những chính sách IKE.
Mỗi phương pháp chứng thực đòi hỏi một cấu hình được thêm vào như theo sau đây:
Phương pháp giải thuật RSA:
Nếu bạn chỉ định giải thuật RSA như là phương pháp chứng thực trong một chính sách, bạn phải cấu hình tương đương để đạt được chứng nhận từ một trung tâm chứng nhận uỷ quyền (CA).
Chứng nhận thì được sử dụng bởi mỗi sự tương đương để đảm bảo chắc chắn trao đổi những chìa khoá công cộng. Khi cả những thiết bị cùng giao thức và hợp lệ được chứng nhận, chúng sẽ tự động trao đổi những chìa khoá công cộng với một thiết bị mạng khác như là phần của bất kỳ sự thoả thuận IKE trong nhận dạng RSA thì được sử dụng.
Phương pháp mã hoá RSA.
Nếu bạn chỉ định RSA được mã hoá như là phương pháp xác thực trong một chính sách. Bạn cần phải chắc chắn rằng mỗi thiết bị mạng cùng giao thức có những chìa khóa công cộng của cùng một giao thức khác.
Không giống như giải thuật RSA, phương pháp mã hoá RSA không sử dụng chứng nhận để trao đổi những chìa khoá công cộng.
- Cấu hình những chìa khoá RSA được điều khiển bằng tay. - Chắc chắn rằng một IKE trao đổi đang sử dụng giải thuật
RSA ngay khi xuất hiện giữa những thiết bị mạng có cùng giao thức.
- Để làm cho điều này xảy ra, chỉ định hai chính sách: một chính sách có độ ưu tiên cao với Mã hoá RSA hiện tại, và một chính sách có độ ưu tiên thấp với Giải thuật RSA. Khi những sự điều chỉng IKE xuất hiện, Giải thuật RSA sẽ được sử dụng đầu tiên bởi vì những thiết bị mạng ngang hang còn chưa có những chìa khoá công cộng khác. Rồi, tương lai sự điều chỉnh IKE sẽ được sử dụng Mã hoá RSA hiện tại bởi vì những chìa khoá công cộng sẽ được trao đổi.
Dĩ nhiên, thay thế này yêu cầu rằng bạn có CA hỗ trợ cấu hình.
Phương pháp chứng thực Những khoá dùng chung
Nếu bạn chỉ định Những khoá dùng chung như là phương pháp chứng thực trong một chính sách, bạn phải cấu hình Những khoá dùng chung này.
Phương pháp chứng thực chứng chỉ số:
Nếu bạn chỉ định những chứng chỉ số như là phương pháp chứng thực trong một chính sách, CA phải được đúng cách cấu hình để đưa ra chứng nhận. Bạn cũng phải cấu hình cho những thiết bị mạng cùng giao thức để thu được sự chứng nhận từ CA.
Những chứng nhận số đơn giản hoá sự chứng thực. Bạn cần chỉ kết nạp mỗi thiết bị mạng cùng giao thức với CA, hơn là việc định cấu hình bằng tay cho mỗi thiết bị mạng cùng giao thức để trao đổi những chìa khóa.
