Zum Hauptinhalt springen

4.4.3.2. IKE-Peer-Authentifizierungsdaten

Sobald ein Eintrag basierend auf einer geordneten Suche der PAD basierend auf ID-Feld-Matching gefunden wurde, ist es notwendig, die assertierte Identität zu verifizieren. Für jeden PAD-Eintrag gibt es eine Angabe des Typs der durchzuführenden Authentifizierung.

Erforderliche Authentifizierungsdatentypen

Dieses Dokument erfordert die Unterstützung von zwei erforderlichen Authentifizierungsdatentypen:

  • X.509-Zertifikat
  • Pre-Shared Secret

X.509-Zertifikat-Authentifizierung

Für die Authentifizierung basierend auf einem X.509-Zertifikat enthält der PAD-Eintrag einen Trust Anchor, über den das End-Entity (EE)-Zertifikat für den Peer direkt oder über einen Zertifikatspfad verifizierbar sein muss. Siehe RFC 3280 für die Definition eines Trust Anchors.

Ein Eintrag, der mit zertifikatbasierter Authentifizierung verwendet wird, KANN (MAY) zusätzliche Daten enthalten, um den Zertifikat-Widerrufsstatus zu erleichtern, z.B.:

  • Eine Liste geeigneter OCSP-Responder oder CRL-Repositories
  • Zugehörige Authentifizierungsdaten

Pre-Shared Secret-Authentifizierung

Für die Authentifizierung basierend auf einem Pre-Shared Secret enthält die PAD das Pre-Shared Secret, das von IKE verwendet werden soll.

IKE-ID- und Zertifikatfeld-Matching

Dieses Dokument erfordert nicht, dass die von einem Peer assertierte IKE-ID syntaktisch mit einem bestimmten Feld in einem End-Entity-Zertifikat verbunden ist. Es wird jedoch oft angemessen sein, eine solche Anforderung aufzuerlegen.

Implementierungsanforderung: Daher MÜSSEN (MUST) Implementierungen einem Administrator ein Mittel zur Verfügung stellen, um eine Übereinstimmung zwischen einer assertierten IKE-ID und dem Subject-Namen oder Subject-Alt-Namen in einem Zertifikat zu erfordern.

  • Ersteres gilt für IKE-IDs, die als Distinguished Names ausgedrückt werden
  • Letzteres ist geeignet für DNS-Namen, RFC 822-E-Mail-Adressen und IP-Adressen
  • Da KEY ID zur Identifizierung eines über ein Pre-Shared Secret authentifizierten Peers gedacht ist, gibt es keine Anforderung, diesen ID-Typ mit einem Zertifikatfeld abzugleichen

Referenzen

Siehe IKEv1 [HarCar98] und IKEv2 [Kau05] für Details darüber, wie IKE Peer-Authentifizierung mit Zertifikaten oder Pre-Shared Secrets durchführt.

Dieses Dokument schreibt die Unterstützung anderer Authentifizierungsmethoden nicht vor, obwohl solche Methoden verwendet werden KÖNNEN (MAY).

Letztes Update am