WebサーバーにTLSを最も安全に展開する方法を調査しているときに、カスタムDHパラメーターの使用が重要な側面の1つであることを学びました。
現在、IKE/IPSECを展開しています。私が理解している限り、IKEv1とIKEv2は、標準化されたグループ名で示される標準のDHパラメータのみをサポートします。
これは、IKEv1/2(openssl dhparamによって生成される)に独自のカスタムDHパラメーターを使用できないことを意味しますか?
openssl dhparam
はい、事前定義されたMODPおよびECP DHグループのみがIKEで使用できます。 IKEv2 および IKEv1 のリストはIANAにあります。
相互運用性を気にしない場合は、もちろん、独自のグループを定義し、私用の範囲の識別子を使用できます。