Экспорт и импорт Pre-Shared Keys (PSK)

Описание экспорта и импорта Pre-Shared keys для IPsec NGate.

Pre-Shared keys — общий секретный ключ. PSK используется в одном из методов аутентификации IPsec-шлюзов (Gateways). Общий PSK привязывается по одному на каждый IPsec-шлюз (Gateway) в сообществе (Community) и потом этот ключ используется для подключения.

Если в сообществе есть удалённые IPsec-шлюзы (управление с другой СУ NGate), то необходимо провести экспорт PSK с СУ, где PSK был создан, на удалённую СУ.

  1. Создайте PSK на СУ: IPsec settings > Pre-Shared Keys > Edit pre-shared keys.
    Подробнее о создании PSK: Создание Pre-Shared Keys (PSK)
  2. Выполните экспорт PSK. Перейдите в меню PSK нажмите кнопку экспорта: IPsec settings > Pre-Shared Keys > Export pre-shared keys. Экспорт идёт в дважды маскированный шестнадцатеричный вид. Ключ будет в директории СУ NGate /etc/opt/ngate/psk/exchange/.


  3. Cкопируйте PSK на защищённый носитель информации.
    1. Подключитесь консольно к СУ NGate, где был создан PSK.
      Способы подключения к аппаратным платформам NGate
      Авторизация в ПО NGate при консольном подключении
    2. Примонтируйте внешний носитель.
      Подключение и отключение внешнего носителя информации
    3. Скопируйте файл c ключом PSK на внешний носитель.
      cp /etc/opt/ngate/psk/exchange/<PSK filename> /mnt
      Где /mnt — точка монтажа внешнего носителя.
    4. Отмонтируйте внешний носитель.
      Подключение и отключение внешнего носителя информации
  4. Скопируйте с защищённого носителя PSK на СУ, которая будет управлять удалёнными IPsec-шлюзами.
    Порядок копирования для СУ NGate:
    1. Создайте ключ хранения PSK (PSK storage key) в программе ng-certcfg.
      ng-certcfg > Service keys management > Generate PSK storage key
    2. Создайте директорию для обмена PSK.
      mkdir /etc/opt/ngate/psk/exchange/
    3. Примонтируйте внешний носитель с PSK.
      Подключение и отключение внешнего носителя информации
    4. Скопируйте ключ в директорию обмена PSK.
      cp /mnt /etc/opt/ngate/psk/exchange/
    5. Отмонтируйте внешний носитель.
      Подключение и отключение внешнего носителя информации
  5. Произведите импорт PSK. Войдите в веб-интерфейс удалённой СУ NGate. Откройте страницу настроек Pre-Shared Keys и нажмите Import PSK: IPsec settings > Pre-Shared Keys > Import PSK.


    Импорт ключей может быть произведён в четырёх форматах:

    • немаскированный шестнадцатиричный;
    • немаскированный бинарный;
    • дважды маскированный шестнадцатиричный (формат экспорта NGate);
    • дважды маскированный бинарный.
  6. В базе данных АРМ администратора PSK хранятся зашифрованными (ключ шифрования для хранения PSK PSK storage key создаётся в ng-certcfg). PSK storage key нужен всегда, когда имеются PSK в системе. Если нужно изменить PSK storage key есть в ng-certcfg опция Service keys management > Swap PSK storage key, которая не только сгенерирует новые ключи хранения, но и перешифрует все PSK в базе данных.