Passa al contenuto principale

4.4.3.2. Dati di autenticazione peer IKE

Una volta che una voce è localizzata sulla base di una ricerca ordinata della PAD basata sulla corrispondenza del campo ID, è necessario verificare l'identità asserita. Per ogni voce PAD, c'è un'indicazione del tipo di autenticazione da eseguire.

Tipi di dati di autenticazione richiesti

Questo documento richiede il supporto di due tipi di dati di autenticazione richiesti:

  • Certificato X.509
  • Segreto pre-condiviso

Autenticazione tramite certificato X.509

Per l'autenticazione basata su un certificato X.509, la voce PAD contiene un'ancora di fiducia tramite la quale il certificato dell'entità finale (EE) del peer deve essere verificabile, direttamente o tramite un percorso di certificato. Vedere RFC 3280 per la definizione di un'ancora di fiducia.

Una voce utilizzata con l'autenticazione basata su certificato PUÒ (MAY) includere dati aggiuntivi per facilitare lo stato di revoca del certificato, ad esempio:

  • Un elenco di risponditori OCSP o repository CRL appropriati
  • Dati di autenticazione associati

Autenticazione tramite segreto pre-condiviso

Per l'autenticazione basata su un segreto pre-condiviso, la PAD contiene il segreto pre-condiviso da utilizzare da IKE.

Corrispondenza tra ID IKE e campo del certificato

Questo documento non richiede che l'ID IKE asserito da un peer sia sintatticamente correlato a un campo specifico in un certificato di entità finale utilizzato per autenticare l'identità di quel peer. Tuttavia, sarà spesso appropriato imporre tale requisito.

Requisito di implementazione: Pertanto, le implementazioni DEVONO (MUST) fornire un mezzo per un amministratore per richiedere una corrispondenza tra un ID IKE asserito e il nome del soggetto o il nome alternativo del soggetto in un certificato.

  • Il primo è applicabile agli ID IKE espressi come nomi distinti
  • Il secondo è appropriato per nomi DNS, indirizzi e-mail RFC 822 e indirizzi IP
  • Poiché KEY ID è destinato a identificare un peer autenticato tramite un segreto pre-condiviso, non vi è alcun requisito di abbinare questo tipo di ID a un campo del certificato

Riferimenti

Vedere IKEv1 [HarCar98] e IKEv2 [Kau05] per i dettagli su come IKE esegue l'autenticazione peer utilizzando certificati o segreti pre-condivisi.

Questo documento non impone il supporto per altri metodi di autenticazione, sebbene tali metodi POSSANO (MAY) essere impiegati.

Ultimo aggiornamento il