如何在 IKEv2 中处理已撤销的证书

已撤销证书是指因为某个原因而泄密的证书。使用已撤销证书会带来安全风险。验证证书是否已经撤销时，您可以使用多种方式。您可以使用静态列表，或者通过 HTTP 协议动态验证证书是否已经撤销。

开始之前

您收到并安装了来自 CA 的证书。

您熟悉检查证书是否已经撤销的 CRL 和 OSCP 方法。有关信息和指示，请参见IKE，使用公钥证书。

您必须成为分配有 "Network IPsec Management"（网络 IPsec 管理）权限配置文件的管理员，并且使用配置文件 shell。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

1. 在从 CA 接收的证书中找到 CRL 和 OCSP 部分。

   您可以根据 CSR 的标签标识证书。

   # pfbash
   # ikev2cert list objtype=cert | grep Label:
   Enter PIN for Sun Software PKCS#11 softtoken: 
           Label: Partym1

   例如，以下已截断的输出突出显示了证书中的 CRL 和 OCSP URI。

   # ikev2cert list objtype=cert label=Partym1
   X509v3 extensions:
       ...
       X509v3 CRL Distribution Points:
            Full Name:
          URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl
       X509v3 Authority Key Identifier:
            ...
       Authority Information Access:
           OCSP - URI:http://ocsp.PKI.example.com/revokes/
       X509v3 Certificate Policies:
            Policy: 2.16.840.1.113733.1.7.23.2

   在 CRL Distribution Points 项下，URI 值指示此组织的 CRL 可从 Web 上的文件获取。OCSP 项指示各个证书的状态可以从服务器动态确定。

2. 通过指定一个代理，启用对 CRL 或 OCSP 服务器的使用。

   # kmfcfg modify \
   dbfile=/etc/inet/ike/kmf-policy.xml \
   policy=default \
   http-proxy=www-proxy.ja.example.com:80

   在代理为可选的站点，无需指定一个代理。

3. 确认证书验证策略是否已更新。

   例如，确认 OCSP 是否已更新。

   # kmfcfg list \
   dbfile=/etc/inet/ike/kmf-policy.xml \
   policy=default
   ...
       OCSP:
           Responder URI: [not set]
           Proxy: www-proxy.ja.example.com:80
           Use ResponderURI from Certificate: true
           Response lifetime: [not set]
           Ignore Response signature: false
           Responder Certificate: [not set]

4. 重新启动 IKEv2 服务。

   # svcadm restart ikev2

5. (u53ef选) 停止使用 CRL 或 OCSP。
   • 要停止使用 CRL，请键入：

     # pfexec kmfcfg modify \
     dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
     crl-none=true

     crl-none=true 参数会强制系统使用从本地高速缓存下载的 CRL。

   • 要停止使用 OCSP，请键入：

     # pfexec kmfcfg modify \
     dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
     ocsp-none=true

示例 9-4  更改系统等待 IKEv2 证书验证的时间

在本示例中，管理员将等待证书验证的时间限定为 20 秒。

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    cert-revoke-responder-timeout=20

缺省情况下，当响应超时时，表明对等方验证成功。在这里，管理员配置一个策略，规定验证失败时拒绝连接。在此配置中，如果 OCSP 或 CRL 服务器不响应，则证书验证失败。

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    ignore-cert-revoke-responder-timeout=false

要激活此策略，管理员需要重新启动 IKEv2 服务。

# svcadm restart ikev2