Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IKE認証について

IKE ネゴシエーションが提供するのは、2 つの当事者が通信できるセキュアなチャネルを確立する機能のみです。それでも、それらが互いに認証する方法を定義する必要があります。ここでIKE認証を使用して、相手にVPNを確立する権限が与えられます。

以下のIKE認証が可能です。

  • 事前共有鍵認証:VPN 接続を確立する最も一般的な方法は、事前共有鍵を使用することです。これは、基本的に両当事者にとって同じパスワードです。このパスワードは、電話、口頭でのやりとり、または電子メールなどのセキュリティの低いメカニズムなどの帯域外メカニズムで事前に交換する必要があります。次に、当事者は、Diffie-Hellman 交換で得られたピアの公開鍵で事前共有鍵を暗号化することで、互いを認証します。

    事前共有鍵は、単一の組織内、または異なる組織間のサイト間 IPsec VPN に導入されるのが一般的です。事前共有キーを最も安全な方法で使用するためには、事前共有キーは、少なくとも 8 文字(12 文字以上を推奨)で構成され、文字、数字、非英数字を組み合わせて使用し、文字の大文字と小文字が異なる必要があります(事前共有キーでは辞書にある単語を使用しないでください)。

  • 証明書認証:証明書ベースの認証は、証明書キーが簡単に侵害されないため、事前共有キー認証よりも安全であると考えられています。また、認定書は、全員が事前共有鍵を共有するわけではない多数のピア サイトを有する大規模な環境では、はるかに理想的です。認定書は公開鍵と秘密鍵で構成されており、認証機関(CA)と呼ばれる一次認定書による署名を受けることができます。このようにして、証明書をチェックして、信頼されている CA で署名されているかどうかを確認できます。

関連ドキュメント