メインコンテンツまでスキップ

4.4.3.2. IKE ピア認証データ

ID フィールドマッチングに基づく PAD の順序付き検索に基づいてエントリが見つかったら、アサートされたアイデンティティを検証する必要があります。各 PAD エントリには、実行される認証のタイプの指示があります。

必須の認証データタイプ

本文書は 2 つの必須認証データタイプのサポートを要求します:

  • X.509 証明書
  • 事前共有鍵

X.509 証明書認証

X.509 証明書に基づく認証の場合、PAD エントリには、ピアのエンドエンティティ (EE) 証明書が直接または証明書パスを介して検証可能な信頼アンカーが含まれます。信頼アンカーの定義については RFC 3280 を参照してください。

証明書ベースの認証で使用されるエントリには、証明書失効ステータスを促進するための追加データが含まれる場合があります (MAY)。例えば:

  • 適切な OCSP レスポンダまたは CRL リポジトリのリスト
  • 関連する認証データ

事前共有鍵認証

事前共有鍵に基づく認証の場合、PAD には IKE が使用する事前共有鍵が含まれます。

IKE ID と証明書フィールドのマッチング

本文書は、ピアによってアサートされた IKE ID が、そのピアのアイデンティティを認証するために使用されるエンドエンティティ証明書の特定のフィールドと構文的に関連することを要求していません。ただし、単一のエントリが異なる SPD エントリを持つ可能性のあるピアのセットを表す場合など、そのような要件を課すことが適切な場合がよくあります。

実装要件:したがって、実装は、アサートされた IKE ID と証明書のサブジェクト名またはサブジェクト代替名との間の一致を要求する手段を管理者に提供しなければなりません (MUST)。

  • 前者は識別名として表現された IKE ID に適用されます
  • 後者は DNS 名、RFC 822 電子メールアドレス、および IP アドレスに適しています
  • KEY ID は事前共有鍵を介して認証されたピアを識別するためのものであるため、この ID タイプを証明書フィールドに一致させる必要はありません

参考文献

IKE が証明書または事前共有鍵を使用してピア認証を実行する方法の詳細については、IKEv1 [HarCar98] および IKEv2 [Kau05] を参照してください。

本文書は他の認証方法のサポートを義務付けていませんが、そのような方法を使用することができます (MAY)。

最終更新