해지된 인증서는 일정한 이유로 손상된 인증서입니다. 해지된 인증서를 사용하면 보안상 위험합니다. 인증서 해지 확인 시 옵션을 선택할 수 있습니다. 정적 목록을 사용할 수도 있고 HTTP 프로토콜을 통해 해지를 동적으로 확인할 수도 있습니다.
시작하기 전에
CA에서 인증서를 받아 설치한 상태여야 합니다.
해지된 인증서를 확인하는 CRL 및 OSCP 방법에 대해 잘 알아야 합니다. 정보 및 포인터는 IKE와 공개 키 인증서를 참조하십시오.
Network IPsec Management 권한 프로파일이 지정된 관리자여야 하며 프로파일 셸을 사용해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
# pfbash # ikev2cert list objtype=cert | grep Label: Enter PIN for Sun Software PKCS#11 softtoken: Label: Partym1
예를 들어, 잘린 다음 출력에서는 인증서의 CRL 및 OCSP URI이 강조 표시됩니다.
# ikev2cert list objtype=cert label=Partym1 X509v3 extensions: ... X509v3 CRL Distribution Points: Full Name: URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl X509v3 Authority Key Identifier: ... Authority Information Access: OCSP - URI:http://ocsp.PKI.example.com/revokes/ X509v3 Certificate Policies: Policy: 2.16.840.1.113733.1.7.23.2
CRL Distribution Points 항목 아래에 URI 값이 있으면 이 조직의 CRL이 웹의 파일로 제공됨을 나타냅니다. OCSP 항목은 개별 인증서의 상태를 서버에서 동적으로 확인할 수 있음을 나타냅니다.
# kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default \ http-proxy=www-proxy.ja.example.com:80
프록시가 선택 사항인 사이트에서는 프록시를 지정하지 않아도 됩니다.
예를 들어, OCSP가 업데이트되었는지 확인합니다.
# kmfcfg list \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default ... OCSP: Responder URI: [not set] Proxy: www-proxy.ja.example.com:80 Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set]
# svcadm restart ikev2
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ crl-none=true
crl-none=true 인수를 지정하면 시스템이 로컬 캐시에서 다운로드한 CRL을 사용합니다.
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ocsp-none=true
이 예에서는 관리자가 인증서 검증 대기 시간을 20초로 제한합니다.
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ cert-revoke-responder-timeout=20
기본적으로 응답 시간이 초과되면 피어 인증이 성공합니다. 여기서, 관리자는 인증이 실패하면 연결이 거부되는 정책을 구성합니다. 이 구성에서는 OCSP 또는 CRL 서버가 응답하지 않게 되는 경우 인증서 검증이 실패합니다.
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ignore-cert-revoke-responder-timeout=false
정책을 활성화하려면 관리자가 IKEv2 서비스를 다시 시작합니다.
# svcadm restart ikev2