IKEv2에서 인증서 검증 정책을 설정하는 방법

IKEv2 시스템에 대해 인증서가 처리되는 방법을 여러 측면에서 구성할 수 있습니다.

시작하기 전에

Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 프로파일 셸에서 입력해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.

1. 기본 인증서 검증 정책을 검토합니다.

   인증서 정책은 설치 시 /etc/inet/ike/kmf-policy.xml 파일에서 설정됩니다. 이 파일은 ikeuser가 소유하며 kmfcfg 명령을 사용하여 수정합니다. 기본 인증서 검증 정책을 적용하면 CRL이 /var/user/ikeuser/crls 디렉토리로 다운로드됩니다. OCSP 사용도 기본적으로 사용으로 설정됩니다. 사이트에서 인터넷에 연결하는 데 프록시가 필요한 경우 프록시를 구성해야 합니다. IKEv2에서 해지된 인증서를 처리하는 방법을 참조하십시오.

   # pfbash
   # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
   Policy Name: default
   Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate
   Ignore Unknown EKUs: false
   Ignore Trust Anchor in Certificate Validation: false
   Trust Intermediate CAs as trust anchors: false
   Maximum Certificate Path Length: 32
   Certificate Validity Period Adjusted Time leeway: [not set]
   Trust Anchor Certificate: Search by Issuer
   Key Usage Bits: 0Identifies critical parts of certificate
   Extended Key Usage Values: [not set]Purposes or applications for the certificate
   HTTP Proxy (Global Scope): [not set]
   Validation Policy Information:
       Maximum Certificate Revocation Responder Timeout: 10
       Ignore Certificate Revocation Responder Timeout: true
       OCSP:
           Responder URI: [not set]
           OCSP specific proxy override: [not set]
           Use ResponderURI from Certificate: true
           Response lifetime: [not set]
           Ignore Response signature: false
           Responder Certificate: [not set]
       CRL:
           Base filename: [not set]
           Directory: /var/user/ikeuser/crls
           Download and cache CRL: true
           CRL specific proxy override: [not set]
           Ignore CRL signature: false
           Ignore CRL validity date: false
   IPsec policy bypass on outgoing connections: true
   Certificate to name mapper name: [not set]
   Certificate to name mapper pathname: [not set]
   Certificate to name mapper directory: [not set]
   Certificate to name mapper options: [not set]

2. 인증서를 검토하여 수정할 검증 옵션을 나타내는 기능이 있는지 확인합니다.

   예를 들어, CRL 또는 OCSP URI를 포함하는 인증서는 인증서 해지 상태를 확인하는 데 사용할 URI를 지정하는 검증 정책을 사용할 수 있습니다. 시간 초과를 구성할 수도 있습니다.

3. kmfcfg(1) 매뉴얼 페이지에서 구성 가능한 옵션을 검토하십시오.
4. 인증서 검증 정책을 구성합니다.

   샘플 정책은 IKEv2에서 해지된 인증서를 처리하는 방법을 참조하십시오.