证书撤销列表 (certificate revocation list, CRL) 包含来自证书颁发机构的过时证书或已损坏证书。CRL 的处理方式有四种。
如果 CA 组织未发出 CRL,则您必须指示 IKE 忽略 CRL。如何使用 CA 签名的证书配置 IKE的步骤 6 中显示了此选项。
可以指示 IKE 从一个 URI(uniform resource indicator,统一资源指示符)访问 CRL,该 URI 的地址嵌入到来自 CA 的公钥证书中。
可以指示 IKE 从 LDAP 服务器访问 CRL,该服务器的 DN(directory name,目录名称)项嵌入到来自 CA 的公钥证书中。
可以将 CRL 作为 ikecert certrldb 命令的参数提供。有关示例,请参见示例 23–7。
以下过程介绍如何指示 IKE 从中心分发点使用 CRL。
# ikecert certdb -lv certspec |
列出 IKE 证书数据库中的证书。
以详细模式列出证书。应谨慎使用此选项。
是一种与 IKE 证书数据库中的证书匹配的模式。
例如,以下证书是由 Sun Microsystems 颁发的。详细信息已更改。
# ikecert certdb -lv example-protect.sun.com Certificate Slot Name: 0 Type: dsa-sha1 (Private key in certlocal slot 0) Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com> Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> SerialNumber: 14000D93 Validity: Not Valid Before: 2002 Jul 19th, 21:11:11 GMT Not Valid After: 2005 Jul 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A…A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = example-protect.sun.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.sun.com/pki/pkismica.crl#i DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> CRL Issuer: Authority Key ID: Key ID: 4F … 6B SubjectKeyID: A5 … FD Certificate Policies Authority Information Access |
请注意 CRL Distribution Points 项。URI 项指示此组织的 CRL 在 Web 上是可用的。DN 项指示 CRL 在 LDAP 服务器上是可用的。在 IKE 访问 CRL 后,将高速缓存该 CRL 以供将来使用。
要访问 CRL,您需要到达分发点。
选择以下方法之一从中心分发点访问 CRL。
将关键字 use_http 添加到主机的 /etc/inet/ike/config 文件。例如,ike/config 文件的显示与以下信息类似:
# Use CRL from organization's URI use_http … |
将关键字 proxy 添加到 ike/config 文件。proxy 关键字将 URL 用作参数,如下所示:
# Use own web proxy proxy "http://proxy1:8080" |
在主机的 /etc/inet/ike/config 文件中,将 LDAP 服务器指定为 ldap-list 关键字的参数。您的组织提供 LDAP 服务器的名称。ike/config 文件中项的显示与以下信息类似:
# Use CRL from organization's LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" … |
在证书到期之前,IKE 检索并高速缓存 CRL。
如果无法从中心分发点获取 PKI 组织的 CRL,则可以将该 CRL 手动添加到本地 certrldb 数据库。按照 PKI 组织的说明将 CRL 提取到文件中,然后使用 ikecert certrldb -a 命令将此 CRL 添加到数据库。
# ikecert certrldb -a < Sun.Cert.CRL |