Aller au contenu principal

4.4.3.2. Données d'authentification des pairs IKE

Une fois qu'une entrée est localisée sur la base d'une recherche ordonnée de la PAD basée sur la correspondance du champ ID, il est nécessaire de vérifier l'identité assertée. Pour chaque entrée PAD, il y a une indication du type d'authentification à effectuer.

Types de données d'authentification requis

Ce document exige la prise en charge de deux types de données d'authentification requis :

  • Certificat X.509
  • Secret pré-partagé

Authentification par certificat X.509

Pour l'authentification basée sur un certificat X.509, l'entrée PAD contient une ancre de confiance via laquelle le certificat d'entité finale (EE) du pair doit être vérifiable, directement ou via un chemin de certificat. Voir RFC 3280 pour la définition d'une ancre de confiance.

Une entrée utilisée avec l'authentification basée sur les certificats PEUT (MAY) inclure des données supplémentaires pour faciliter l'état de révocation du certificat, par exemple :

  • Une liste de répondeurs OCSP ou de référentiels CRL appropriés
  • Données d'authentification associées

Authentification par secret pré-partagé

Pour l'authentification basée sur un secret pré-partagé, la PAD contient le secret pré-partagé à utiliser par IKE.

Correspondance entre ID IKE et champ de certificat

Ce document n'exige pas que l'ID IKE asserté par un pair soit syntaxiquement lié à un champ spécifique dans un certificat d'entité finale utilisé pour authentifier l'identité de ce pair. Cependant, il sera souvent approprié d'imposer une telle exigence.

Exigence d'implémentation : Ainsi, les implémentations DOIVENT (MUST) fournir un moyen pour un administrateur d'exiger une correspondance entre un ID IKE asserté et le nom du sujet ou le nom alternatif du sujet dans un certificat.

  • Le premier s'applique aux ID IKE exprimés en tant que noms distinctifs
  • Le second est approprié pour les noms DNS, les adresses e-mail RFC 822 et les adresses IP
  • Étant donné que KEY ID est destiné à identifier un pair authentifié via un secret pré-partagé, il n'y a pas d'exigence de faire correspondre ce type d'ID à un champ de certificat

Références

Voir IKEv1 [HarCar98] et IKEv2 [Kau05] pour plus de détails sur la façon dont IKE effectue l'authentification des pairs à l'aide de certificats ou de secrets pré-partagés.

Ce document n'impose pas la prise en charge d'autres méthodes d'authentification, bien que de telles méthodes PUISSENT (MAY) être employées.

Dernière mise à jour le