Oracle® Solaris 11.2의 네트워크 보안

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

IKEv2에서 해지된 인증서를 처리하는 방법

해지된 인증서는 일정한 이유로 손상된 인증서입니다. 해지된 인증서를 사용하면 보안상 위험합니다. 인증서 해지 확인 시 옵션을 선택할 수 있습니다. 정적 목록을 사용할 수도 있고 HTTP 프로토콜을 통해 해지를 동적으로 확인할 수도 있습니다.

시작하기 전에

CA에서 인증서를 받아 설치한 상태여야 합니다.

해지된 인증서를 확인하는 CRL 및 OSCP 방법에 대해 잘 알아야 합니다. 정보 및 포인터는 IKE와 공개 키 인증서를 참조하십시오.

Network IPsec Management 권한 프로파일이 지정된 관리자여야 하며 프로파일 셸을 사용해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

  1. CA에서 받은 인증서에서 CRL 및 OCSP 섹션을 찾습니다.

    CSR의 레이블을 통해 인증서를 식별할 수 있습니다.

    # pfbash
# ikev2cert list objtype=cert | grep Label:
Enter PIN for Sun Software PKCS#11 softtoken: 
        Label: Partym1

    예를 들어, 잘린 다음 출력에서는 인증서의 CRL 및 OCSP URI이 강조 표시됩니다.

    # ikev2cert list objtype=cert label=Partym1
X509v3 extensions:
    ...
    X509v3 CRL Distribution Points:
         Full Name:
       URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl
    X509v3 Authority Key Identifier:
         ...
    Authority Information Access:
        OCSP - URI:http://ocsp.PKI.example.com/revokes/
    X509v3 Certificate Policies:
         Policy: 2.16.840.1.113733.1.7.23.2

    CRL Distribution Points 항목 아래에 URI 값이 있으면 이 조직의 CRL이 웹의 파일로 제공됨을 나타냅니다. OCSP 항목은 개별 인증서의 상태를 서버에서 동적으로 확인할 수 있음을 나타냅니다.

  2. 프록시를 지정하여 CRL 또는 OCSP 서버를 사용할 수 있도록 설정합니다. 
    # kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml \
policy=default \
http-proxy=www-proxy.ja.example.com:80

    프록시가 선택 사항인 사이트에서는 프록시를 지정하지 않아도 됩니다.

  3. 인증서 검증 정책이 업데이트되었는지 확인합니다.

    예를 들어, OCSP가 업데이트되었는지 확인합니다.

    # kmfcfg list \
dbfile=/etc/inet/ike/kmf-policy.xml \
policy=default
...
    OCSP:
        Responder URI: [not set]
        Proxy: www-proxy.ja.example.com:80
        Use ResponderURI from Certificate: true
        Response lifetime: [not set]
        Ignore Response signature: false
        Responder Certificate: [not set]
  4. IKEv2 서비스를 다시 시작합니다. 
    # svcadm restart ikev2
  5. (옵션) CRL 또는 OCSP 사용을 중지합니다.
    • CRL 사용을 중지하려면 다음을 입력합니다. 
      # pfexec kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
crl-none=true

      crl-none=true 인수를 지정하면 시스템이 로컬 캐시에서 다운로드한 CRL을 사용합니다.

    • OCSP 사용을 중지하려면 다음을 입력합니다. 
      # pfexec kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
ocsp-none=true
예 9-4  시스템이 IKEv2 인증서 검증을 대기하는 시간 변경

이 예에서는 관리자가 인증서 검증 대기 시간을 20초로 제한합니다.

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    cert-revoke-responder-timeout=20

기본적으로 응답 시간이 초과되면 피어 인증이 성공합니다. 여기서, 관리자는 인증이 실패하면 연결이 거부되는 정책을 구성합니다. 이 구성에서는 OCSP 또는 CRL 서버가 응답하지 않게 되는 경우 인증서 검증이 실패합니다.

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    ignore-cert-revoke-responder-timeout=false

정책을 활성화하려면 관리자가 IKEv2 서비스를 다시 시작합니다.

# svcadm restart ikev2
Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음