해지된 인증서는 일정한 이유로 손상된 인증서입니다. 해지된 인증서를 사용하면 보안상 위험합니다. 인증서 해지 확인 시 옵션을 선택할 수 있습니다. 정적 목록을 사용할 수도 있고 HTTP 프로토콜을 통해 해지를 동적으로 확인할 수도 있습니다. 해지된 인증서를 처리하는 방법은 4가지입니다.
URI(Uniform Resource Indicator)가 인증서에 포함된 CRL 또는 OCSP를 무시하도록 IKEv1에 알릴 수 있습니다. 이 옵션은 Step 5에 나옵니다.
CA의 공개 키 인증서에 주소가 포함된 URI(Uniform Resource Indicator)를 통해 CRL 또는 OCSP에 액세스하도록 IKEv1에 알릴 수 있습니다.
CA의 공개 키 인증서에 DN(디렉토리 이름) 항목이 포함된 LDAP 서버에서 CRL에 액세스하도록 IKEv1에 알릴 수 있습니다.
CRL을 ikecert certrldb 명령의 인수로 지정할 수 있습니다. 예제는 Example 10–3를 참조하십시오.
시작하기 전에
Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
ikecert certdb 명령의 인수에 대한 자세한 내용은 ikecert(1M) 매뉴얼 페이지를 참조하십시오.
예를 들어, 다음은 회사의 PKI에서 발행한 인증서입니다. 세부 정보는 변경되었습니다.
# ikecert certdb -lv cert-protect.example.com Certificate Slot Name: 0 Type: dsa-sha256 (Private key in certlocal slot ) Subject Name: <O=Example, CN=cert-protect.example.com> Issuer Name: <CN=ExampleCo CO (Cl B), O=Example> SerialNumber: 14000D93 Validity: Not Valid Before: 2013 Sep 19th, 21:11:11 GMT Not Valid After: 2017 Sep 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A…A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = cert-protect.example.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.example.com/pki/pkismica.crl#i DN = <CN=ExampleCo CO (Cl B), O=Example> CRL Issuer: Authority Key ID: Key ID: 4F … 6B SubjectKeyID: A5 … FD Certificate Policies Authority Information Access
CRL Distribution Points 항목을 확인합니다.
URI 항목은 이 조직의 CRL을 웹에서 사용할 수 있음을 나타냅니다.
DN 항목은 CRL을 LDAP 서버에서 사용할 수 있음을 나타냅니다. IKE가 액세스한 CRL은 나중에 사용할 수 있도록 캐시됩니다.
CRL에 액세스하려면 배포 지점에 연결해야 합니다.
use_http 키워드를 호스트의 /etc/inet/ike/config 파일에 추가합니다. 예를 들어, ike/config 파일은 다음과 유사하게 표시됩니다.
# Use CRL or OCSP from organization's URI use_http …
proxy 키워드를 ike/config 파일에 추가합니다. proxy 키워드는 다음에서와 같이 URL을 인수로 사용합니다.
# Use web proxy to reach CRLs or OCSP proxy "http://proxy1:8080"
호스트의 /etc/inet/ike/config 파일에서 LDAP 서버를 ldap-list 키워드의 인수로 지정합니다. 조직에서 LDAP 서버의 이름을 제공합니다. ike/config 파일의 항목은 다음과 유사하게 표시됩니다.
# Use CRL from organization's LDAP ldap-list "ldap1.example.com:389,ldap2.example.com" …
IKE가 CRL을 검색하고 인증서가 만료될 때까지 CRL을 캐시합니다.
중앙 배포 지점에서 CA의 CRL을 사용할 수 없는 경우 수동으로 로컬 certrldb 데이터베이스에 CRL을 추가할 수 있습니다. CA의 지침에 따라 CRL을 파일에 추출한 다음 ikecert certrldb -a 명령을 사용하여 데이터베이스에 CRL을 추가합니다.
# ikecert certrldb -a < ExampleCo.Cert.CRL