証明書無効リストにアクセスする方法 (IPsec と IKE の管理)

IPsec と IKE の管理

証明書無効リストにアクセスする方法

証明書無効リスト (CRL) には、認証局が発行した証明書のうち、期限切れになったりセキュリティが低下したりした証明書が記載されます。CRL を処理する方法には、次の 4 つがあります。

CA 機関から CRL が発行されない場合は、 /etc/inet/ike/config ファイルにある CRL を無視するように IKE に指定できる。このオプションについては、認証局による署名付き公開鍵による IKE の設定方法を参照
CA から受け取った公開鍵証明書に URI のアドレスが組み込まれている場合は、IKE は URI から CRL にアクセスする
CA から受け取った公開鍵証明書に LDAP サーバーの DN エントリが組み込まれている場合は、IKE は LDAP サーバーから CRL にアクセスする。その場合には、/etc/inet/ike/config ファイルの ldap-list キーワードに対する引数として LDAP サーバーを指定する
ikecert certrldb コマンドの引数として CRL を指定する

次の手順は、一元的なディトリビューションポイントの CRL を使用するように IKE に指示する方法を示しています。

ikecert certdb –lv certspec コマンドを実行して、PKI 機関から受け取った証明書を表示します。

`-l`	IKE 証明書データベースにある証明書を一覧表示する
`-v`	証明書を冗長モードで一覧表示する。このオプションは慎重に使用すること
`certspec`	`certspec` パターンと証明書のパターンを照合する

たとえば、次の証明書は Sun Microsystems から発行されたものです。詳細は変更されています。

# ikecert certdb -lv example-protect.sun.com
Certificate Slot Name: 0   Type: if-modn
   (Private key in certlocal slot 0)
 Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com>
 Issuer Name: <CN=Sun Microsystems Inc CA (Class B), O=Sun Microsystems Inc>
 SerialNumber: 14000D93
   Validity:
      Not Valid Before: 2002 Jul 19th, 21:11:11 GMT
      Not Valid After:  2005 Jul 18th, 21:11:11 GMT
   Public Key Info:
      Public Modulus  (n) (2048 bits): C575A…A5
      Public Exponent (e) (  24 bits): 010001
   Extensions:
      Subject Alternative Names:
              DNS = example-protect.sun.com
      Key Usage: DigitalSignature KeyEncipherment
      [CRITICAL]
   CRL Distribution Points:
      Full Name:
         URI = #Ihttp://www.sun.com/pki/pkismica.crl#i
         DN = <CN=Sun Microsystems Inc CA (Class B), O=Sun Microsystems Inc>
      CRL Issuer: 
      Authority Key ID:
      Key ID:              4F … 6B
      SubjectKeyID:        A5 … FD
      Certificate Policies
      Authority Information Access

CRL Distribution Points のデータに注目してください。URI エントリは、この機関の CRL が Web 上にあることを示しています。DN エントリは、CRL が LDAP サーバー上にもあることを示しています。ユーザーはこれら 2 つのうちのどちらかを使用できます。

URI を使用する場合は、ホストの /etc/inet/ike/config ファイルにキーワード use_http を指定します。

たとえば、ike/config ファイルの内容は次のようになります。
# Use CRL from organization's URI use_http …
IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

さらに、ike/config ファイルにキーワード proxy を指定することによって Web プロキシを使用することもできます。proxy では、次のように、引数として URL を指定します。
proxy "http://proxy1:8080"

LDAP を使用する場合は、ホストの /etc/inet/ike/config ファイルの ldap-list キーワードへの引数として LDAP サーバーを指定します。

LDAP サーバーの名前は、使用する機関にたずねてください。ike/config ファイルのエントリは、次のようになります。
# Use CRL from organization's LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" …
IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

例 — CRL をローカルの `certrldb` データベースに貼り付ける

この例は、一元的なディストリビューションポイントから得ることができない CRL を使用する方法を示しています。

使用する機関の証明書に一元的なディストリビューションポイントが含まれていない場合は、機関の CRL を手動でローカルの crls データベースに追加できます。その場合は、機関の説明に従って CRL を抽出し、それを ikecert certrldb –a コマンドでデータベースに追加します。

# ikecert certrldb -a<Return キーを押す>
<PKI 機関からの CRL を貼り付ける>

<Return キーを押す>
<<Control-D> を押して CRL をデータベースに追加する>

証明書無効リストにアクセスする方法

例 — CRL をローカルの certrldb データベースに貼り付ける

例 — CRL をローカルの `certrldb` データベースに貼り付ける