test

IPsec と IKE の管理

公開鍵証明書による IKE の設定 (作業マップ)

作業 

説明 

参照先 

自己署名付き公開鍵証明書による IKE の設定 

ikecert certlocal -ks コマンドを指定して自己署名付き証明書を作成し、ikecert certdb コマンドを指定してリモートシステムからの公開鍵を追加する

自己署名付き公開鍵証明書による IKE の設定方法

PKI 認証局による IKE の設定 

ikecert certlocal -kc コマンドの出力を PKI 機関に送信し、その機関からの公開鍵、CA、および CRL を追加する

CA からの署名付き証明書による IKE の設定方法

ローカルハードウェア上での公開鍵証明書の設定 

次のいずれかの作業を行う  

  • ローカルハードウェア上で自己署名付き証明書を生成し、リモートシステムの公開鍵をハードウェアに追加する

  • ローカルハードウェア上で証明書要求を生成し、PKI 機関から取得した公開鍵証明書をハードウェアに追加する

ハードウェア上で公開鍵証明書を生成、格納する方法

PKI 機関から取得した証明書無効リスト (CRL) の更新 

中央の配布ポイントから CRL にアクセスする 

証明書無効リストを処理する方法

自己署名付き公開鍵証明書による IKE の設定方法

  1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。

    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティがリモートログインセッションレベルに低下します。

  2. 自己署名付き証明書を ike.privatekeys データベースに追加します。


    # ikecert certlocal -ks|-kc -m keysize -t keytype \
-D dname -A altname
    -ks

    自己署名付き証明書を作成する

    -kc

    証明書要求を作成する。手順は CA からの署名付き証明書による IKE の設定方法を参照

    keysize

    キーのサイズ。 keysize は、512、1024、2048、3072、4096 のいずれか

    keytype

    使用するアルゴリズムのタイプ。keytypersa-sha1rsa-md5dsa-sha1 のいずれか

    dname

    証明書主体の X.509 識別名。dname の一般的な形式は次のとおり : C = country (国)、O = organization (組織)、OU = organizational unit (組織単位)、CN = common name (共通名)。有効なタグは、COOUCN

    altname

    証明書の代替名。altname の形式は tag=value。有効なタグは、IPDNSEMAILURIDNRID

    1. たとえば、partym システムでは、コマンドは次のようになります。


      # ikecert certlocal -ks -m 1024 -t rsa-md5 \
> -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
> -A IP=192.168.13.213
Creating software private keys.
  Writing private key to file /etc/inet/secret/ike.privatekeys/0.
Enabling external key providers - done.
Acquiring private keys for signing - done.
Certificate: 
 Proceeding with the signing operation.
 Certificate generated successfully (…/publickeys/0)
Finished successfully.
Certificate added to database.
-----BEGIN X509 CERTIFICATE-----
MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX
…
6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU
-----END X509 CERTIFICATE-----

    2. enigma システムでは、コマンドは次のようになります。


      # ikecert certlocal -ks -m 1024 -t rsa-md5 \
> -D "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax" \
> -A IP=192.168.116.16
Creating software private keys.
  …
Certificate added to database.
-----BEGIN X509 CERTIFICATE-----
MIICKDCCAZGgAwIBAgIBATANBgkqhkiG9w0BAQQFADBJMQswCQYDVQQGEwJVUzEV
…
jpxfLM98xyFVyLCbkr3dZ3Tvxvi732BXePKF2A==
-----END X509 CERTIFICATE-----

  3. 証明書を保存し、リモートシステムに送信します。

    証明書は、電子メールに貼り付けることもできます。

    1. たとえば、次の partym 証明書を enigma の管理者に送信します。


      To: admin@ja.enigmaexample.com
From: admin@us.partyexample.com
Message: -----BEGIN X509 CERTIFICATE-----
MIICLTCCAZagAwIBAgIBATANBgkqhkiG9w0BAQQFADBNMQswCQYDVQQGEwJVUzEX
…
6sKTxpg4GP3GkQGcd0r1rhW/3yaWBkDwOdFCqEUyffzU
-----END X509 CERTIFICATE-----

    2. enigma の管理者は、次の enigma 証明書を送信してきます。


      To: admin@us.partyexample.com
From: admin@ja.enigmaexample.com
Message: -----BEGIN X509 CERTIFICATE-----
MIICKDCCAZGgAwIBAgIBATANBgkqhkiG9w0BAQQFADBJMQswCQYDVQQGEwJVUzEV
…
jpxfLM98xyFVyLCbkr3dZ3Tvxvi732BXePKF2A==
-----END X509 CERTIFICATE-----

  4. システムごとに、証明書が認識されるように /etc/inet/ike/config ファイルを編集します。

    リモートシステムの管理者は、 cert_trustremote_addr、および remote_id パラメータの値を提供します。

    1. たとえば、partym システム上の ike/config ファイルは次のようになります。


      # Explicitly trust the following self-signed certs
# Use the Subject Alternate Name to identify the cert

cert_trust "192.168.13.213"
cert_trust "192.168.116.16"

## Parameters that may also show up in rules.

p1_xform 
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg des }
p2_pfs 5

{
 label "US-partym to JA-enigmax"
 local_id_type dn
 local_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
 remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"

 local_addr  192.168.13.213
 remote_addr 192.168.116.16

 p1_xform
  {auth_method rsa_encrypt oakley_group 2 auth_alg md5 encr_alg 3des}
}

    2. enigma システムで、ike/config ファイルにローカルパラメータの enigma 値を追加します。

      リモートパラメータには、partym 値を使用します。キーワード label の値が一意であることを確認します。この値は、リモートシステムの label 値とは異なる値でなければなりません。


      …
{
 label "JA-enigmax to US-partym"
 local_id_type dn
 local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
 remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"

 local_addr  192.168.116.16
 remote_addr 192.168.13.213
…

  5. システムごとに、受け取った証明書を追加します。

    1. 管理者の電子メールから公開鍵をコピーします。

    2. ikecert certdb –a コマンドを入力後、Return キーを押します。

      Return キーを押してもプロンプトは表示されません。


      # ikecert certdb -a
Return キーを押す

    3. 公開鍵を貼り付けます。続いて Return キーを押します。Control-D キーを押して入力を終了します。


      -----BEGIN X509 CERTIFICATE-----
MIIC…
…
----END X509 CERTIFICATE-----
Return キーを押す
<Control>-D

  6. 通信するシステムの管理者と一緒にキーが改ざんされていないことを確認します。

    たとえば、その管理者に電話で連絡して公開鍵ハッシュの値を比較できます。共有の証明書の公開鍵ハッシュは、両システムで同一でなければなりません。

    1. たとえば、partym システムで、格納されている証明書を一覧表示します。


      partym # ikecert certdb -l
Certificate Slot Name: 0   Type: rsa-md5
    Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym>
    Key Size: 1024
    Public key hash: B2BD13FCE95FD27ECE6D2DCD0DE760E2

Certificate Slot Name: 1   Type: rsa-md5
    (Private key in certlocal slot 0)
    Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax>
    Key Size: 1024
    Public key hash: 2239A6A127F88EE0CB40F7C24A65B818

    2. enigma システムで、格納されている証明書を一覧表示します。


      enigma # ikecert certdb -l
Certificate Slot Name: 4   Type: rsa-md5
    Subject Name: <C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax>
    Key Size: 1024
    Public key hash: DF3F108F6AC669C88C6BD026B0FCE3A0

Certificate Slot Name: 5   Type: rsa-md5
    (Private key in certlocal slot 4)
    Subject Name: <C=US, O=PartyCompany, OU=US-Partym, CN=Partym>
    Key Size: 1024
    Public key hash: 2239A6A127F88EE0CB40F7C24A65B818
    注 –

    この例の公開鍵ハッシュは、使用しているシステムで生成される公開鍵ハッシュとは異なります。

CA からの署名付き証明書による IKE の設定方法

  1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。

    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティがリモートログインセッションレベルに低下します。

  2. ikecert certlocal -kc コマンドを実行して証明書要求を作成します。

    コマンド引数の詳細については、自己署名付き公開鍵証明書による IKE の設定方法手順 2 を参照してください。


    # ikecert certlocal -kc -m keysize -t keytype \
-D dname -A altname

    1. たとえば、次のコマンドでは、partym システム上に証明書要求が作成されます。


      # ikecert certlocal -kc -m 1024 -t rsa-md5 \
> -D "C=US, O=PartyCompany\, Inc., OU=US-Partym, CN=Partym" \
> -A "DN=C=US, O=PartyCompany\, Inc., OU=US-Partym"
Creating software private keys.
  Writing private key to file /etc/inet/secret/ike.privatekeys/2.
Enabling external key providers - done.
Certificate Request: 
  Proceeding with the signing operation.
  Certificate request generated successfully (…/publickeys/0)
Finished successfully.
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwUzELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFEV4YW1wbGVDb21w
…
lcM+tw0ThRrfuJX9t/Qa1R/KxRlMA3zckO80mO9X
-----END CERTIFICATE REQUEST-----

    2. 次のコマンドでは、enigma システム上に証明書要求が作成されます。


      # ikecert certlocal -kc -m 1024 -t rsa-md5 \
> -D "C=JA, O=EnigmaCo\, Inc., OU=JA-Enigmax, CN=Enigmax" \
> -A "DN=C=JA, O=EnigmaCo\, Inc., OU=JA-Enigmax"
Creating software private keys.
…
Finished successfully.
-----BEGIN CERTIFICATE REQUEST-----
MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu
…
8qlqdjaStLGfhDOO
-----END CERTIFICATE REQUEST-----

  3. この証明書要求を PKI 機関に送信します。

    証明書要求の送信方法については PKI に問い合わせてください。ほとんどの機関は、Web サイトに送信フォームを掲載しています。フォームの記入に当たっては、その送信が正当なものであることを証明する必要があります。通常は、証明書要求をフォームに貼り付けます。要求を受け取った機関は、それをチェックしてから、次の 2 つの証明書オブジェクトと、証明書無効リストを発行します。

    • 公開鍵証明書 – この証明書は機関に送信した要求に基づいて作成される。送信した証明書要求も、公開鍵証明書の一部として含まれる。この証明書によって一意に識別される

    • 認証局 – 機関の署名。CA によって公開鍵証明書が正規のものであることが確認される

    • 証明書無効リスト – 機関が無効にした証明書の最新リスト。CRL へのアクセスが公開鍵証明書に組み込まれている場合には、CRL が別個の証明書オブジェクトとして送信されることはない

      CRL の URI が公開鍵証明書に組み込まれている場合には、IKE は CRL を自動的に取り出すことができる。同様に、DN (LDAP サーバー上のディレクトリ名) エントリが公開鍵証明書に組み込まれている場合には、IKE は、指定された LDAP サーバーから CRL を取得し、キャッシュすることができる

      公開鍵証明書に URI や DN エントリを組み込んだ例については、証明書無効リストを処理する方法を参照

  4. ikecert certdb -a コマンドを使って、各証明書をシステムに追加します。

    -a オプションを指定すると、貼り付けたオブジェクトが、システム内の適切な証明書データベースに追加されます。詳細は、IKE と公開鍵証明書を参照してください。

    1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。

    2. PKI 機関から受け取った公開鍵証明書を追加します。


      # ikecert certdb -a
Return キーを押す
証明書を貼り付ける
-----BEGIN X509 CERTIFICATE-----
…
-----END X509 CERTIFICATE----
Return キーを押す
<Control>-D

    3. PKI 機関の CA を追加します。


      # ikecert certdb -a
Return キーを押す
CA を貼り付ける
-----BEGIN X509 CERTIFICATE-----
…
-----END X509 CERTIFICATE----
Return キーを押す
<Control>-D

    4. PKI 機関が証明書無効リスト (CRL) を送信してきている場合は、これを certrldb データベースに追加します。


      # ikecert certrldb -a
Return キーを押す
CRL を貼り付ける
-----BEGIN CRL-----
…
-----END CRL----
Return キーを押す
<Control>-D

  5. /etc/inet/ike/config ファイルを編集して、PKI 機関が認識されるようにします。

    PKI 機関が提供する名前を使用します。

    1. たとえば、partym システムの ike/config ファイルは次のようになります。


      # Trusted root cert
# This certificate is from Example PKI
# This is the X.509 distinguished name for the CA that it issues.

cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI"

## Parameters that may also show up in rules.

p1_xform 
 { auth_method rsa_sig oakley_group 1 auth_alg sha1 encr_alg des }
p2_pfs 2

{
 label "US-partym to JA-enigmax - Example PKI"
 local_id_type dn
 local_id  "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
 remote_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"

 local_addr  192.168.13.213
 remote_addr 192.168.116.16

 p1_xform
  {auth_method rsa_encrypt oakley_group 2 auth_alg md5 encr_alg 3des}
}
      注 –

      auth_method パラメータのすべての引数は同じ行になければなりません。

    2. enigma システムで、ローカルパラメータに enigma 値、リモートパラメータに partym 値を使用します。

      キーワード label の値が一意であることを確認します。この値は、リモートシステムの label 値とは異なる値でなくてはなりません。


      …
{
 label "JA-enigmax to US-partym - Example PKI"
 local_id_type dn
 local_id   "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
 remote_id  "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"
 
 local_addr  192.168.116.16
 remote_addr 192.168.13.213
…

  6. PKI 機関から CRL を受け取っていない場合は、キーワード ignore_crlsike/config ファイルに追加します。


    # Trusted root cert
…
cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI"
ignore_crls
…

    ignore_crls キーワードにより、IKE は CRL を検索しなくなります。

  7. PKI 機関から CRL の一元的なディストリビューションポイントを知らされている場合は、ike/config ファイルを変更してこの場所を指定することができます。

    例については、証明書無効リストを処理する方法 を参照してください。

    注 –

    次の手順は、/etc/inet/ike/config ファイル内の auth_methodrsa_encrypt が設定されている場合にのみ必要です。

  8. auth_method パラメータが rsa_encrypt に設定されているので、ピアの証明書を publickeys データベースに追加します。

    1. その証明書を、リモートシステムの管理者に送信します。

      証明書は、電子メールに貼り付けることもできます。

      1. たとえば、partym の管理者は次のような電子メールを送信します。


        To: admin@ja.enigmaexample.com
From: admin@us.partyexample.com
Message: -----BEGIN X509 CERTIFICATE-----
MII…
----END X509 CERTIFICATE-----

      2. enigma の管理者は次のような電子メールを送信します。


        To: admin@us.partyexample.com
From: admin@ja.enigmaexample.com
Message: -----BEGIN X509 CERTIFICATE-----
MII
…
-----END X509 CERTIFICATE-----

    2. システムごとに、電子メールで送信された証明書をローカルの publickeys データベースに追加します。


      # ikecert certdb -a
Return キーを押す
-----BEGIN X509 CERTIFICATE-----
MII…
-----END X509 CERTIFICATE-----
Return キーを押す
<Control>-D

    RSA 暗号化認証方式を使用すると、IKE の ID が盗聴者から保護されます。rsa_encrypt 方式では ID が隠されるため、IKE はピアを知りません。そのため、ピアの証明書を取り出すことはできません。したがって、その方式では、IKE ピアが互いの公開鍵を認識することが必要になります。よって、/etc/inet/ike/config ファイルの auth_method rsa_encrypt を指定する場合には、ピアの証明書を publickeys データベースに追加する必要があります。この結果、publickeys データベースには、通信するシステムペアごとに 3 つの証明書が存在することになります。

    • ユーザーの公開鍵証明書

    • CA 証明書

    • ピアの公開鍵証明書

ハードウェア上で公開鍵証明書を生成、格納する方法

ハードウェア上で公開鍵および公開鍵証明書を生成、格納するための要件は、次のとおりです。

ハードウェア上で公開鍵証明書を生成、格納する方法は、システム上で公開鍵証明書を生成、格納する方法とほぼ同じです。違いは次の 2 点です。

  1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。

    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティがリモートログインセッションレベルに低下します。

  2. 自己署名付き証明書か証明書要求を生成し、トークン ID を指定します。次のオプションのどれか 1 つを選択します。

    注 –

    Sun Crypto Accelerator 4000 ボードは、RSA で最大 2048 ビットのキーをサポートします。DSA の場合は最大 1024 ビットになります。

    • 自己署名付き証明書の場合、次の構文を使用する


      # ikecert certlocal -ks -m 1024 -t rsa-md5 \
> -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
> -a -T SUN-4000-stor IP=192.168.116.16
Creating hardware private keys.
Enter PIN for PKCS#11 token: Type user:password
-----BEGIN X509 CERTIFICATE-----
MIIBwjCCASsCBD9bz5swDQYJKoZIhvcNAQEEBQAwKDELMAkGA1UEBhMCVVMxGTAX
…
PiktCuvURc1TXswaFyftzmLKWafUOQ==
-----END X509 CERTIFICATE-----

      -T オプションの引数は、Sun Crypto Accelerator 4000 ボードのトークン ID

    • 証明書要求の場合、次の構文を使用する


      # ikecert certlocal -kc -m 1024 -t rsa-md5 \
> -D "C=US, O=PartyCompany, OU=US-Partym, CN=Partym" \
> -a -T SUN-4000-stor IP=192.168.116.16
Creating hardware private keys.
Enter PIN for PKCS#11 token: Type user:password
-----BEGIN X509 CERTIFICATE-----
MIIBuDCCASECAQAwSTELMAkGA1UEBhMCVVMxFTATBgNVBAoTDFBhcnR5Q29tcGFu
…
oKUDBbZ9O/pLWYGr
-----END X509 CERTIFICATE-----

    ikecert コマンドの引数の詳細については、ikecert(1M) のマニュアルページを参照してください。

  3. PIN のプロンプトに、Sun Crypto Accelerator 4000 ユーザー、コロン、ユーザーのパスワードを入力します。

    Sun Crypto Accelerator 4000 ボードのユーザー ikemgr のパスワードが rgm4tigt の場合、次のように入力します。


    Enter PIN for PKCS#11 token: ikemgr:rgm4tigt
    注 –

    PIN の応答は、ディスク上にクリアテキストとして格納されます。

  4. 通信先に証明書を送信します。次のオプションのどれか 1 つを選択します。

    • リモートシステムに自己署名付き証明書を送信します。証明書は、電子メールに貼り付けることもできます。

    • PKI を処理する機関に証明書要求を送信します。証明書要求は、PKI 機関の指示に従って送信します。詳細については、CA からの署名付き証明書による IKE の設定方法手順 3 を参照してください。

  5. システム上で、/etc/inet/ike/config ファイルを編集して、証明書が認識されるようにします。次のオプションのどれか 1 つを選択します。

    • 自己署名付き証明書の場合は、リモートシステムの管理者がパラメータ cert_trustremote_id、および remote_addr 用に提供する値を使用します。

      たとえば、enigma システムの ike/config ファイルは次のようになります。


      # Explicitly trust the following self-signed certs
# Use the Subject Alternate Name to identify the cert

cert_trust "192.168.116.16"  ローカルシステムの証明書
cert_trust "192.168.13.213"  リモートシステムの証明書

pkcs11_path "/opt/SUNWconn/lib/libpkcs11.so" ハードウェア接続
…
{
 label "JA-enigmax to US-partym"
 local_id_type dn
 local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
 remote_id "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"

 local_addr  192.168.116.16
 remote_addr 192.168.13.213

 p1_xform
  {auth_method rsa_encrypt oakley_group 2 auth_alg md5 encr_alg 3des}
}

    • 証明書要求の場合は、PKI 機関が cert_root キーワードの値として提供する名前を入力します。

      たとえば、enigma システムの ike/config ファイルは次のようになります。


      # Trusted root cert
# This certificate is from Example PKI
# This is the X.509 distinguished name for the CA that it issues.

cert_root "C=US, O=ExamplePKI\, Inc., OU=PKI-Example, CN=Example PKI"

pkcs11_path "/opt/SUNWconn/lib/libpkcs11.so" ハードウェア接続
…
{
 label "JA-enigmax to US-partym - Example PKI"
 local_id_type dn
 local_id "C=JA, O=EnigmaCo, OU=JA-Enigmax, CN=Enigmax"
 remote_id  "C=US, O=PartyCompany, OU=US-Partym, CN=Partym"

 local_addr  192.168.116.16
 remote_addr 192.168.13.213

 p1_xform
  {auth_method rsa_encrypt oakley_group 2 auth_alg md5 encr_alg 3des}
}

  6. 通信先から受け取った証明書をハードウェアに格納します。

    手順 3 の場合と同様に、PIN 要求に応答します。

    注 –

    公開鍵証明書は、公開鍵を生成したハードウェアに追加する必要があります

    • 自己署名付き証明書の場合、リモートシステムの自己署名付き証明書を追加します。


      # ikecert certdb -a -T SUN-4000-stor
Return キーを押す
自己署名付き証明書を貼り付ける
<Control>-D
Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する

      自己署名付き証明書の auth_method パラメータの値として rsa_encrypt を使用した場合、ハードウェアストアにピアの証明書を追加します。


      # ikecert certdb -a -T SUN-4000-stor
Return キーを押す
ピアの証明書を貼り付ける
<Control>-D
Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する

    • PKI 機関の証明書の場合、その機関が証明書要求に応じて発行した証明書と、認証局 (CA) を追加します。


      # ikecert certdb -a -T SUN-4000-stor
 Return キーを押す
PKI が発行した証明書を貼り付ける
<Control>-D
Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する


      # ikecert certdb -a -T SUN-4000-stor
Return キーを押す
CA 証明書を貼り付ける
<Control>-D
Enter PIN for PKCS#11 token: ユーザー名とパスワードを入力する

      PKI 機関から取得した証明書無効リスト (CRL) を追加する方法については、証明書無効リストを処理する方法を参照してください。

証明書無効リストを処理する方法

証明書無効リスト (CRL) には、認証局が発行した証明書のうち、期限切れになったりセキュリティが低下したりした証明書が記載されます。CRL を処理する方法には、次の 4 つがあります。

次の手順は、一元的なディトリビューションポイントの CRL を使用するように IKE に指示する方法を示しています。

  1. CA から受け取った証明書を表示します。


    # ikecert certdb -lv certspec
    -l

    IKE 証明書データベースにある証明書を一覧表示する

    -v

    証明書を冗長モードで一覧表示する。このオプションは慎重に使用すること

    certspec

    IKE 証明書データベース内の証明書と一致するパターン

    たとえば、次の証明書は Sun Microsystems から発行されたものです。詳細は変更されています。


    # ikecert certdb -lv example-protect.sun.com
Certificate Slot Name: 0   Type: dsa-sha1
   (Private key in certlocal slot 0)
 Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com>
 Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc>
 SerialNumber: 14000D93
   Validity:
      Not Valid Before: 2002 Jul 19th, 21:11:11 GMT
      Not Valid After:  2005 Jul 18th, 21:11:11 GMT
   Public Key Info:
      Public Modulus  (n) (2048 bits): C575A…A5
      Public Exponent (e) (  24 bits): 010001
   Extensions:
      Subject Alternative Names:
              DNS = example-protect.sun.com
      Key Usage: DigitalSignature KeyEncipherment
      [CRITICAL]
   CRL Distribution Points:
      Full Name:
         URI = #Ihttp://www.sun.com/pki/pkismica.crl#i
         DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc>
      CRL Issuer: 
      Authority Key ID:
      Key ID:              4F … 6B
      SubjectKeyID:        A5 … FD
      Certificate Policies
      Authority Information Access

    CRL Distribution Points のデータに注目してください。URI エントリは、この機関の CRL が Web 上にあることを示しています。DN エントリは、CRL が LDAP サーバー上にもあることを示しています。ユーザーはこれら 2 つのうちのどちらかを使用できます。

  2. URI を使用する場合は、ホストの /etc/inet/ike/config ファイルにキーワード use_http を追加します。

    たとえば、ike/config ファイルは次のようになります。


    # Use CRL from organization's URI
use_http
…

    キーワード proxyike/config ファイルに追加して、Web プロキシを使用することもできます。キーワード proxy は、次のように引数として URL を取ります。


    proxy "http://proxy1:8080"

    IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

  3. LDAP を使用する場合は、ホストの /etc/inet/ike/config ファイルのキーワード ldap-list への引数として LDAP サーバーを指定します。

    LDAP サーバーの名前は、使用する機関にたずねてください。ike/config ファイルのエントリは次のようになります。


    # Use CRL from organization's LDAP
ldap-list "ldap1.sun.com:389,ldap2.sun.com"
…

    IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

例 — CRL をローカルの certrldb データベースに貼り付ける

使用する機関の証明書に一元的なディストリビューションポイントが含まれていない場合は、機関の CRL を手動でローカルの certrldb データベースに追加できます。その場合は、機関の説明に従って CRL を抽出し、それを ikecert certrldb –a コマンドでデータベースに追加します。


# ikecert certrldb -a
Return キーを押す
PKI 機関からの CRL を貼り付ける
Return キーを押す
<Control>-D を押して CRL をデータベースに追加する