Oracle® Solaris 11.2의 네트워크 보안

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

IKEv1에서 해지된 인증서를 처리하는 방법

해지된 인증서는 일정한 이유로 손상된 인증서입니다. 해지된 인증서를 사용하면 보안상 위험합니다. 인증서 해지 확인 시 옵션을 선택할 수 있습니다. 정적 목록을 사용할 수도 있고 HTTP 프로토콜을 통해 해지를 동적으로 확인할 수도 있습니다. 해지된 인증서를 처리하는 방법은 4가지입니다.

  • URI(Uniform Resource Indicator)가 인증서에 포함된 CRL 또는 OCSP를 무시하도록 IKEv1에 알릴 수 있습니다. 이 옵션은 Step 5에 나옵니다.

  • CA의 공개 키 인증서에 주소가 포함된 URI(Uniform Resource Indicator)를 통해 CRL 또는 OCSP에 액세스하도록 IKEv1에 알릴 수 있습니다.

  • CA의 공개 키 인증서에 DN(디렉토리 이름) 항목이 포함된 LDAP 서버에서 CRL에 액세스하도록 IKEv1에 알릴 수 있습니다.

  • CRL을 ikecert certrldb 명령의 인수로 지정할 수 있습니다. 예제는 Example 10–3를 참조하십시오.

시작하기 전에

Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

  1. CA에서 수신한 인증서를 표시합니다.

    ikecert certdb 명령의 인수에 대한 자세한 내용은 ikecert(1M) 매뉴얼 페이지를 참조하십시오.

    예를 들어, 다음은 회사의 PKI에서 발행한 인증서입니다. 세부 정보는 변경되었습니다.

    # ikecert certdb -lv cert-protect.example.com
Certificate Slot Name: 0   Type: dsa-sha256
   (Private key in certlocal slot )
 Subject Name: <O=Example, CN=cert-protect.example.com>
 Issuer Name: <CN=ExampleCo CO (Cl B), O=Example>
 SerialNumber: 14000D93
   Validity:
      Not Valid Before: 2013 Sep 19th, 21:11:11 GMT
      Not Valid After:  2017 Sep 18th, 21:11:11 GMT
   Public Key Info:
      Public Modulus  (n) (2048 bits): C575A…A5
      Public Exponent (e) (  24 bits): 010001
   Extensions:
      Subject Alternative Names:
              DNS = cert-protect.example.com
      Key Usage: DigitalSignature KeyEncipherment
      [CRITICAL]
   CRL Distribution Points:
      Full Name:
         URI = #Ihttp://www.example.com/pki/pkismica.crl#i
         DN = <CN=ExampleCo CO (Cl B), O=Example>
      CRL Issuer: 
      Authority Key ID:
      Key ID:              4F … 6B
      SubjectKeyID:        A5 … FD
      Certificate Policies
      Authority Information Access

      CRL Distribution Points 항목을 확인합니다.

    • URI 항목은 이 조직의 CRL을 웹에서 사용할 수 있음을 나타냅니다.

    • DN 항목은 CRL을 LDAP 서버에서 사용할 수 있음을 나타냅니다. IKE가 액세스한 CRL은 나중에 사용할 수 있도록 캐시됩니다.

    CRL에 액세스하려면 배포 지점에 연결해야 합니다.

  2. 중앙 배포 지점에서 CRL에 액세스하는 데 사용할 다음 방법 중 하나를 선택합니다.
    • URI 사용

      use_http 키워드를 호스트의 /etc/inet/ike/config 파일에 추가합니다. 예를 들어, ike/config 파일은 다음과 유사하게 표시됩니다.

      # Use CRL or OCSP from organization's URI
use_http
    • 웹 프록시 사용

      proxy 키워드를 ike/config 파일에 추가합니다. proxy 키워드는 다음에서와 같이 URL을 인수로 사용합니다.

      # Use web proxy to reach CRLs or OCSP
proxy "http://proxy1:8080"
    • LDAP 서버 사용

      호스트의 /etc/inet/ike/config 파일에서 LDAP 서버를 ldap-list 키워드의 인수로 지정합니다. 조직에서 LDAP 서버의 이름을 제공합니다. ike/config 파일의 항목은 다음과 유사하게 표시됩니다.

      # Use CRL from organization's LDAP
ldap-list "ldap1.example.com:389,ldap2.example.com"
…

    IKE가 CRL을 검색하고 인증서가 만료될 때까지 CRL을 캐시합니다.

예 10-3  CRL을 IKEv1에 대한 로컬 certrldb 데이터베이스에 붙여 넣기

중앙 배포 지점에서 CA의 CRL을 사용할 수 없는 경우 수동으로 로컬 certrldb 데이터베이스에 CRL을 추가할 수 있습니다. CA의 지침에 따라 CRL을 파일에 추출한 다음 ikecert certrldb -a 명령을 사용하여 데이터베이스에 CRL을 추가합니다.

# ikecert certrldb -a < ExampleCo.Cert.CRL
Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음