authentication (IKE policy)

Команда authentication  применяется для указания метода аутентификации сторон.

Восстановить значение по умолчанию можно с помощью той же команды с префиксом no.

Аутентификация может осуществляться с использованием предопределенного ключа (Preshared Key) или с использованием цифровых сертификатов стандарта Х.509.

 

Синтаксис           authentication {gost-sig | rsa-sig | dss-sig | sign | pre-share} 

                   no authentication {gost-sig | rsa-sig | dss-sig | sign | pre-share} 

gost-sig                      аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму ГОСТ Р 34.10-2001

rsa-sig                        аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму RSA

dss-sig                        аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму DSA

sign                              выбор конкретного типа аутентификации (RSA, DSA или ГОСТ) осуществляется по типу CA-сертификата, лежащего в базе

pre-share                    аутентификация осуществляется с использованием предопределенных ключей.

 

Значение по умолчанию                    gost-sig 

 

Режимы команды                               ISAKMP policy configuration.

 

Рекомендации по использованию

Используйте эту команду для указания метода аутентификации сторон, которая происходит в первой фазе IKE.

Данная команда работает в режиме ISAKMP policy configuration.

Ключевая пара, к которой принадлежит открытый ключ локального сертификата, может быть создана с использованием алгоритма RSA, DSA или ГОСТ Р 34.10-2001. Локальный сертификат с открытым ключом по RSA алгоритму должен быть подписан СА сертификатом с открытым ключом, созданным по RSA алгоритму. Локальный ГОСТ сертификат должен быть подписан СА ГОСТ сертификатом. Локальный DSA сертификат – СА DSA сертификатом.

В файле настроек конвертора cs_conv.ini параметрам send_cert и send_request  присвоено значение ALWAYS, и поэтому по умолчанию партнеру всегда будет отсылаться локальный сертификат по протоколу IKE и запрашиваться сертификат партнера.

 

Примечание: при построении соединения между S-Terra Gate и Cisco Router с использованием аутентификации на сертификатах рекомендуется применять метод аутентификации sign. В этом случае при конвертировании, для совместимости с Cisco IOS, в Native-конфигурации дополнительно прописывается ссылка на CA-сертификат, лежащий в базе.

 

Отличие данной команды от подобной команды Cisco  IOS:

Не допускается тип аутентификации RSA encryption.

В Cisco IOS поддерживается аутенификация с использованием цифровых сертификатов, созданных только по алгоритму RSA.

 

Пример

Ниже приведен пример назначения метода аутентификации сторон на предопределенных ключах, используемого в рамках протокола IKE. Остальные параметры устанавливаются по умолчанию:

Router(config)#crypto  isakmp  policy 10

 Router(config-isakmp)#authentication pre-share

 Router(config-isakmp)#exit