已撤销证书是指因为某个原因而泄密的证书。使用已撤销证书会带来安全风险。验证证书是否已经撤销时,您可以使用多种方式。您可以使用静态列表,或者通过 HTTP 协议动态验证证书是否已经撤销。
开始之前
您收到并安装了来自 CA 的证书。
您熟悉检查证书是否已经撤销的 CRL 和 OSCP 方法。有关信息和指示,请参见IKE,使用公钥证书。
您必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员,并且使用配置文件 shell。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
# pfbash # ikev2cert list objtype=cert | grep Label: Enter PIN for Sun Software PKCS#11 softtoken: Label: Partym1
例如,以下已截断的输出突出显示了证书中的 CRL 和 OCSP URI。
# ikev2cert list objtype=cert label=Partym1 X509v3 extensions: ... X509v3 CRL Distribution Points: Full Name: URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl X509v3 Authority Key Identifier: ... Authority Information Access: OCSP - URI:http://ocsp.PKI.example.com/revokes/ X509v3 Certificate Policies: Policy: 2.16.840.1.113733.1.7.23.2
在 CRL Distribution Points 项下,URI 值指示此组织的 CRL 可从 Web 上的文件获取。OCSP 项指示各个证书的状态可以从服务器动态确定。
# kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default \ http-proxy=www-proxy.ja.example.com:80
在代理为可选的站点,无需指定一个代理。
例如,确认 OCSP 是否已更新。
# kmfcfg list \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default ... OCSP: Responder URI: [not set] Proxy: www-proxy.ja.example.com:80 Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set]
# svcadm restart ikev2
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ crl-none=true
crl-none=true 参数会强制系统使用从本地高速缓存下载的 CRL。
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ocsp-none=true
在本示例中,管理员将等待证书验证的时间限定为 20 秒。
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ cert-revoke-responder-timeout=20
缺省情况下,当响应超时时,表明对等方验证成功。在这里,管理员配置一个策略,规定验证失败时拒绝连接。在此配置中,如果 OCSP 或 CRL 服务器不响应,则证书验证失败。
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ignore-cert-revoke-responder-timeout=false
要激活此策略,管理员需要重新启动 IKEv2 服务。
# svcadm restart ikev2