Безопасность и оптимизация Linux.Редакция для Red Hat



         

Настройка тайного секретного ключа RSA


Напомним, что сейчас FreeSWAN имеет два типа секретов: предварительно разделенные секреты и приватные ключи RSA. Предварительно разделенные секреты, которые настраиваются в наших файлах “ipsec.conf” и “ipsec.secrets”, мы рассмотрели выше. Некоторые люди предпочитают использовать приватные ключи RSA для аутентификации других хостов через Pluto демон. Если вы находитесь в этой ситуации, то надо будет сделать некоторые изменения в файлах “ipsec.conf” и “ipsec.secrets”, как описано ниже:

Вам нужно создать независимый RSA ключ для каждого шлюза. Каждый из них хранит этот ключ в своем файле “ipsec.secrets”, а публичный ключ перемещается в параметры “leftrsasigkey” и “rightrsasigkey” секции conn файла “ipsec.conf”, который одинаков для обоих шлюзах.

Шаг 1

Создайте независимый ключ RSA для каждого из шлюзов.

На первом шлюзе (например, deep) используйте команду:

[root@deep /]# cd /

[root@deep /]# ipsec rsasigkey --verbose 1024 > deep-keys

computing primes and modulus...

getting 64 random bytes from /dev/random

looking for a prime starting there

found it after 30 tries

getting 64 random bytes from /dev/random

looking for a prime starting there

found it after 230 tries

swapping primes so p is the larger

computing (p-1)*(q-1)...

computing d...

computing exp1, exp1, coeff...

output...

На втором шлюзе (например, mail) используйте команду:

[root@mail /]# cd /

[root@mail /]# ipsec rsasigkey --verbose 1024 > mail-keys

computing primes and modulus...

getting 64 random bytes from /dev/random

looking for a prime starting there

found it after 30 tries

getting 64 random bytes from /dev/random

looking for a prime starting there

found it after 230 tries

swapping primes so p is the larger

computing (p-1)*(q-1)...

computing d...

computing exp1, exp1, coeff...

output...

Утилита rsasigkey создает пару RSA ключей (публичный и приватный) из 1024- bit сигнатуры, и помещает их в файл deep-keys (mail-keys для второй команды на втором шлюзе). Приватный ключ может быть дословно вставлен в файл “ipsec.secrets”, а публичный ключ в файл “ipsec.conf”.




Содержание  Назад  Вперед