証明書失効リストを処理する方法

証明書失効リスト (CRL) には、認証局が発行した証明書のうち、期限切れになったりセキュリティーが低下したりした証明書が含まれます。CRL を処理する方法には、次の 4 つがあります。

• CA 機関が CRL を発行しない場合、CRL を無視するように IKE に指示する必要があります。このオプションについては、「CA からの署名付き証明書により IKE を設定する方法」の手順 6 を参照してください。

• CA から受け取った公開鍵証明書に URI (Uniform Resource Indicator) のアドレスが組み込まれている場合は、URI から CRL にアクセスするように IKE に指示することができます。

• CA から受け取った公開鍵証明書に LDAP サーバーの DN (ディレクトリ名) エントリが組み込まれている場合は、LDAP サーバーから CRL にアクセスするように IKE に指示することができます。

• CRL は ikecert certrldb コマンドへの引数として指定できます。例については、例 23–7 を参照してください。

次の手順に、中央の配布ポイントから CRL を使用するように IKE に指示する手順を示します。

1. CA から受信した証明書を表示する

   # ikecert certdb -lv certspec

   -l

   IKE 証明書データベースにある証明書を一覧表示します。

   -v

   証明書を冗長モードで一覧表示します。このオプションは慎重に使用してください。

   certspec

   IKE 証明書データベース内の証明書と一致するパターンです。

   たとえば、次の証明書は Sun Microsystems が発行しています。詳細は変更されています。

   # ikecert certdb -lv example-protect.sun.com Certificate Slot Name: 0 Type: dsa-sha1 (Private key in certlocal slot 0) Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com> Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> SerialNumber: 14000D93 Validity: Not Valid Before: 2002 Jul 19th, 21:11:11 GMT Not Valid After: 2005 Jul 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A…A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = example-protect.sun.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.sun.com/pki/pkismica.crl#i DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> CRL Issuer: Authority Key ID: Key ID: 4F … 6B SubjectKeyID: A5 … FD Certificate Policies Authority Information Access

   CRL Distribution Points エントリに注目してください。URI エントリは、この機関の CRL が Web 上にあることを示しています。DN エントリは、CRL が LDAP サーバー上にあることを示しています。一度、IKE がアクセスすると、CRL は将来に備えてキャッシュに格納されます。

   CRL にアクセスするには、配布ポイントまで到達する必要があります。

2. 中央の配布ポイントから CRL にアクセスするには、次のメソッドのうちの 1 つを選択します。

   • URI を使用します。

     キーワード use_http をホストの /etc/inet/ike/config ファイルに追加します。たとえば、ike/config ファイルは次のようになります。

     # Use CRL from organization's URI use_http …

   • Web プロキシを使用します。

     キーワード proxy を ike/config ファイルに追加します。キーワード proxy は、次のように引数として URL を取ります。

     # Use own web proxy proxy "http://proxy1:8080"

   • LDAP サーバーを使用します。

     ホストの /etc/inet/ike/config ファイルの ldap-list キーワードに LDAP サーバーの名前を指定します。LDAP サーバーの名前は、使用する機関にたずねてください。ike/config ファイルのエントリは次のようになります。

     # Use CRL from organization's LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" …

   IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

例 23–7 CRL をローカルの certrldb データベースに貼り付ける

使用する機関の証明書に一元的な配布ポイントが含まれていない場合は、機関の CRL を手動でローカルの certrldb データベースに追加できます。機関の説明に従って CRL をファイルに抽出し、それを ikecert certrldb -a コマンドでデータベースに追加します。

# ikecert certrldb -a < Sun.Cert.CRL