IKEv2 시스템에 대해 인증서가 처리되는 방법을 여러 측면에서 구성할 수 있습니다.
시작하기 전에
Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 프로파일 셸에서 입력해야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.
인증서 정책은 설치 시 /etc/inet/ike/kmf-policy.xml 파일에서 설정됩니다. 이 파일은 ikeuser가 소유하며 kmfcfg 명령을 사용하여 수정합니다. 기본 인증서 검증 정책을 적용하면 CRL이 /var/user/ikeuser/crls 디렉토리로 다운로드됩니다. OCSP 사용도 기본적으로 사용으로 설정됩니다. 사이트에서 인터넷에 연결하는 데 프록시가 필요한 경우 프록시를 구성해야 합니다. IKEv2에서 해지된 인증서를 처리하는 방법을 참조하십시오.
# pfbash # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default Policy Name: default Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate Ignore Unknown EKUs: false Ignore Trust Anchor in Certificate Validation: false Trust Intermediate CAs as trust anchors: false Maximum Certificate Path Length: 32 Certificate Validity Period Adjusted Time leeway: [not set] Trust Anchor Certificate: Search by Issuer Key Usage Bits: 0Identifies critical parts of certificate Extended Key Usage Values: [not set]Purposes or applications for the certificate HTTP Proxy (Global Scope): [not set] Validation Policy Information: Maximum Certificate Revocation Responder Timeout: 10 Ignore Certificate Revocation Responder Timeout: true OCSP: Responder URI: [not set] OCSP specific proxy override: [not set] Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set] CRL: Base filename: [not set] Directory: /var/user/ikeuser/crls Download and cache CRL: true CRL specific proxy override: [not set] Ignore CRL signature: false Ignore CRL validity date: false IPsec policy bypass on outgoing connections: true Certificate to name mapper name: [not set] Certificate to name mapper pathname: [not set] Certificate to name mapper directory: [not set] Certificate to name mapper options: [not set]
예를 들어, CRL 또는 OCSP URI를 포함하는 인증서는 인증서 해지 상태를 확인하는 데 사용할 URI를 지정하는 검증 정책을 사용할 수 있습니다. 시간 초과를 구성할 수도 있습니다.
샘플 정책은 IKEv2에서 해지된 인증서를 처리하는 방법을 참조하십시오.