Par défaut, iked utilise une identification par jeton de clés
(publique/privée), un peu comme pour ssh. Vous pouvez les stocker
dans des dossiers bien précis pour faciliter l'organisation (au format PEM), iked les
prendra automatiquement en charge.
Selon si les sources (srcid
) et les destinations (dstid
) sont
écrites sous la forme d'adresses IP ou de noms de domaines, les clés publiques seront à
enregistrer sous :
/etc/iked/pubkeys/ipv4/A.B.C.D
/etc/iked/pubkeys/ipv6/abcd:abcd::ab:bc
/etc/iked/pubkeys/fqdn/foo.bar.org
/etc/iked/pubkeys/ufqdn/user@foo.bar.org
Ce qui est génial, c'est qu'iked
saura les retrouver comme un grand.
Dans le cadre de ce tutoriel, nous allons présenter la méthode la plus simple, à
savoir se servir des clés publiques présentes par défaut sur une installation
d'OpenBSD. Libre à vous de créer de nouvelles paires de clés avec la
commande openssl
si vous le souhaitez afin de changer l'algorithme de
chiffrement. La partie privée des clés générées sera dans /etc/iked/private
,
mais vous l'auriez deviné tout seul ;).
Pour l'exemple, nous allons copier les clés déjà prêtes. C'est facile de les
trouver, il s'agit du fichier /etc/iked/local.pub
.
/etc/iked/pubkeys/ufqdn/batman@cacahuete.tld
(oui, vous pouvez mettre n'importe quelle adresse mail, du moment que vous utilisez la même dans la suite du tutoriel.local.pub
qui est sur le serveur vers votre ordinateur pour le placer dans /etc/iked/pubkeys/fqdn/chezmoi.tld
. Remplacez le nom de domaine, il doit correspondre à celui de votre serveur, identifié plus tard dans les configurations par srcid
et dstid
.