在 AIX 上简化和集中化 IPSec 管理

　　Internet Protocol Security 是一个协议套件，提供各种信息安全特性。个人用户或组织可使用 IPSec 特性来所有应用程序的流量，无需对应用程序本身进行任何修改。IPSec 使用身份验证、完整性检查和加密来数据流量。数据安全性是在通信栈的 IP 层提供的，所以不需要对应用程序进行任何修改。不过，必须对每台机器单独配置，以使其能够使用 IPSec。

　　目前，对于使用 IPSec 隧道的系统，必须使用 XML 配置文件或命令行对它们进行单独配置。在配置某些系统时，工作量可能不会非常大，但在拥有许多系统的大型企业中，配置就会​成为一项艰巨的任务。要在两个系统之间建立 IPSec 隧道，需要配置超过 20 个配置参数，并且只有少数参数与机器相关。

　　由于有大量的配置参数，所以 IPSec 配置既容易出错又耗时。为了减少错误配置的工作量和风险，AIX IPSec 中增加了一个新的特性，它为企业简化了整个流程。该特性提供：

　　与某个 IPSec 配置策略相关联的所有机器将使用由一个 XML 文件定义的同一组 IPSec 配置（规则）。一台机器在同一时间只可以与一个策略关联。

　　AIX 用于创建 IPSec 隧道的配置文件是 XML 格式。为了在两个系统之间创建一条隧道，必须配置超过 20 个配置参数。可配置的参数被放进 XML 文件中。然而，XML 文件中不包含 IP 地址；从与策略关联的机器获取 IP 地址。AIX IPSec 提供了一个命令，可将 XML 配置文件加载到 LDAP 服务器中。

　　将成为 IPSec 隧道中端点的所有机器必须已配置为 LDAP 客户端。在 AIX LDAP 客户端的 ldap.cfg 文件中有两个新的配置选项，以支持 AIX IPSec 隧道，如清单 2 所示。

　　为了验证 IPSec 配置的父对象是否已被添加，使用ldapsearch命令，如清单 4 所示。

　　本节介绍如何使用 GSKit 为 IPSec 证书身份验证机制创建证书。IBM GSKit 是许多 IBM 产品所使用的一个库和一组命令行工具。在 AIX 中的 IPSec 是一个特性，它针对 IPSec 证书身份验证机制使用这些文件。（对 GSKit 工具的进一步讨论超出了本文的范围。）

　　下列步骤显示了用于为通过 IPSec 进行相互相通信的两台机器创建必要的 GSKit 密钥文件的典型命令。两台机器的密钥文件中的证书由相同的证书授权机构 (CA) 签署。生成密钥文件后，必须将它们安装到每台机器的 /etc/security 目录。

　　现在，已创建证书请求，使用 Root_CA 证署证书请求，从而生成用户证书，如清单 11 所示。

　　此时，客户端机器的证书都存储在一个主密钥文件中。您可以将证书复制到不同的文件，使它们能够被分发到每一台客户端机器。请确保 Root_CA 也被复制到客户端机器的 GSKit 文件。清单 18 显示了一个示例。

　　然后，从主密钥文件删除Test_Cert2，使它只包含第一台机器的证书。清单 20 显示了一个示例。

　　testpolicy是策略的名称，而-C采用可区分的名称字符串作为输入。这个可区分的名称必须与传递给–dn选项的名称相同，以便为第一台机器生成证书。

　　要想在 LDAP 服务器中所定义的所有客户端机器之间创建 IPSec 隧道，使用ike命令，如清单 25 所示。

　　要验证隧道是否正常工作，从一台客户端机器向另一台客户端机器发出ping命令。然后，也可以运行ike cmd=list命令，列出已创建的隧道。清单 26 显示了一个示例。

　　本文介绍了如何使用 AIX 中的集中式 IPSec 管理特性来管理大量客户端机器的 IPSec 配置。

　　IBM AIX 6.1 信息中心：查找有关 LDAP 客户端配置的信息、IP 安全性的详细信息，并了解如何规划、安装、和使用 AIX 操作系统。

　　“Managing certificates with IBM GSKit”（developerWorks，2012 年 11 月）是利用 IBM Global Security Kit 创建、签署、安装并使用证书的简单指南。

　　AIX and UNIX 专区：developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息，您可以利用它们来扩展自己的 UNIX 技能。

　　AIX and UNIX 专题汇总：AIX and UNIX 专区已经为您推出了很多的技术专题，为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您，为了方便您的访问，我们在这里为您把本专区的所有专题进行汇总，让您更方便的找到您需要的内容。

　　AIX and UNIX 下载中心：在这里你可以下载到可以运行在 AIX 或者是 UNIX 系统上的 IBM 服务器软件以及工具，让您可以提前免费试用他们的强大功能。

　　IBM Systems Magazine for AIX 中文版：本的内容更加关注于趋势和企业级架构应用方面的内容，同时对于新兴的技术、产品、应用方式等也有很深入的探讨。IBM Systems Magazine 的内容都是由十分资深的业内人士撰写的，包括 IBM 的合作伙伴、IBM 的主机工程师以及高级管理人员。所以，从这些内容中，您可以了解到更高层次的应用，让您在选择和应用 IBM 系统时有一个更好的认识。