系统管理指南：IP 服务

如何处理证书撤销列表

证书撤销列表 (certificate revocation list, CRL) 包含来自证书颁发机构的过时证书或已损坏证书。CRL 的处理方式有四种。

如果 CA 组织未发出 CRL，则您必须指示 IKE 忽略 CRL。如何使用 CA 签名的证书配置 IKE的步骤 6 中显示了此选项。
可以指示 IKE 从一个 URI（uniform resource indicator，统一资源指示符）访问 CRL，该 URI 的地址嵌入到来自 CA 的公钥证书中。
可以指示 IKE 从 LDAP 服务器访问 CRL，该服务器的 DN（directory name，目录名称）项嵌入到来自 CA 的公钥证书中。
可以将 CRL 作为 ikecert certrldb 命令的参数提供。有关示例，请参见示例 23–7。

以下过程介绍如何指示 IKE 从中心分发点使用 CRL。

显示从 CA 收到的证书。

# ikecert certdb -lv certspec

-l: 列出 IKE 证书数据库中的证书。
-v: 以详细模式列出证书。应谨慎使用此选项。
certspec: 是一种与 IKE 证书数据库中的证书匹配的模式。

例如，以下证书是由 Sun Microsystems 颁发的。详细信息已更改。

# ikecert certdb -lv example-protect.sun.com
Certificate Slot Name: 0   Type: dsa-sha1
   (Private key in certlocal slot 0)
 Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com>
 Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc>
 SerialNumber: 14000D93
   Validity:
      Not Valid Before: 2002 Jul 19th, 21:11:11 GMT
      Not Valid After:  2005 Jul 18th, 21:11:11 GMT
   Public Key Info:
      Public Modulus  (n) (2048 bits): C575A…A5
      Public Exponent (e) (  24 bits): 010001
   Extensions:
      Subject Alternative Names:
              DNS = example-protect.sun.com
      Key Usage: DigitalSignature KeyEncipherment
      [CRITICAL]
   CRL Distribution Points:
      Full Name:
         URI = #Ihttp://www.sun.com/pki/pkismica.crl#i
         DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc>
      CRL Issuer: 
      Authority Key ID:
      Key ID:              4F … 6B
      SubjectKeyID:        A5 … FD
      Certificate Policies
      Authority Information Access

请注意 CRL Distribution Points 项。URI 项指示此组织的 CRL 在 Web 上是可用的。DN 项指示 CRL 在 LDAP 服务器上是可用的。在 IKE 访问 CRL 后，将高速缓存该 CRL 以供将来使用。

要访问 CRL，您需要到达分发点。

选择以下方法之一从中心分发点访问 CRL。
- 使用 URI。
  
  将关键字 use_http 添加到主机的 /etc/inet/ike/config 文件。例如，ike/config 文件的显示与以下信息类似：
  # Use CRL from organization's URI use_http …
- 使用 Web 代理。
  
  将关键字 proxy 添加到 ike/config 文件。proxy 关键字将 URL 用作参数，如下所示：
  # Use own web proxy proxy "http://proxy1:8080"
- 使用 LDAP 服务器。
  
  在主机的 /etc/inet/ike/config 文件中，将 LDAP 服务器指定为 ldap-list 关键字的参数。您的组织提供 LDAP 服务器的名称。ike/config 文件中项的显示与以下信息类似：
  # Use CRL from organization's LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" …
在证书到期之前，IKE 检索并高速缓存 CRL。

示例 23–7 将 CRL 粘贴到本地 `certrldb` 数据库中

如果无法从中心分发点获取 PKI 组织的 CRL，则可以将该 CRL 手动添加到本地 certrldb 数据库。按照 PKI 组织的说明将 CRL 提取到文件中，然后使用 ikecert certrldb -a 命令将此 CRL 添加到数据库。

# ikecert certrldb -a < Sun.Cert.CRL

如何处理证书撤销列表

示例 23–7 将 CRL 粘贴到本地 certrldb 数据库中

示例 23–7 将 CRL 粘贴到本地 `certrldb` 数据库中