証明書無効リストを処理する方法

証明書無効リスト (CRL) には、認証局が発行した証明書のうち、期限切れになったりセキュリティが低下したりした証明書が記載されます。CRL を処理する方法には、次の 4 つがあります。

• CA 機関から CRL が発行されない場合は、 /etc/inet/ike/config ファイルにある CRL を無視するように IKE に指定できる。このオプションについては、CA からの署名付き証明書による IKE の設定方法の手順 6 を参照

• CA から受け取った公開鍵証明書に URI (Uniform Resource Indicator) のアドレスが組み込まれている場合は、IKE は URI から CRL にアクセスする

• CA から受け取った公開鍵証明書に LDAP サーバーの DN (ディレクトリ名) エントリが組み込まれている場合は、IKE は LDAP サーバーから CRL にアクセスする

• ikecert certrldb コマンドの引数として CRL を指定する

次の手順は、一元的なディトリビューションポイントの CRL を使用するように IKE に指示する方法を示しています。

1. CA から受け取った証明書を表示します。

   # ikecert certdb -lv certspec

   -l

   IKE 証明書データベースにある証明書を一覧表示する

   -v

   証明書を冗長モードで一覧表示する。このオプションは慎重に使用すること

   certspec

   IKE 証明書データベース内の証明書と一致するパターン

   たとえば、次の証明書は Sun Microsystems から発行されたものです。詳細は変更されています。

   # ikecert certdb -lv example-protect.sun.com Certificate Slot Name: 0 Type: dsa-sha1 (Private key in certlocal slot 0) Subject Name: <O=Sun Microsystems Inc, CN=example-protect.sun.com> Issuer Name: <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> SerialNumber: 14000D93 Validity: Not Valid Before: 2002 Jul 19th, 21:11:11 GMT Not Valid After: 2005 Jul 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A…A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = example-protect.sun.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.sun.com/pki/pkismica.crl#i DN = <CN=Sun Microsystems Inc CA (Cl B), O=Sun Microsystems Inc> CRL Issuer: Authority Key ID: Key ID: 4F … 6B SubjectKeyID: A5 … FD Certificate Policies Authority Information Access

   CRL Distribution Points のデータに注目してください。URI エントリは、この機関の CRL が Web 上にあることを示しています。DN エントリは、CRL が LDAP サーバー上にもあることを示しています。ユーザーはこれら 2 つのうちのどちらかを使用できます。

2. URI を使用する場合は、ホストの /etc/inet/ike/config ファイルにキーワード use_http を追加します。

   たとえば、ike/config ファイルは次のようになります。

   # Use CRL from organization's URI use_http …

   キーワード proxy を ike/config ファイルに追加して、Web プロキシを使用することもできます。キーワード proxy は、次のように引数として URL を取ります。

   proxy "http://proxy1:8080"

   IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

3. LDAP を使用する場合は、ホストの /etc/inet/ike/config ファイルのキーワード ldap-list への引数として LDAP サーバーを指定します。

   LDAP サーバーの名前は、使用する機関にたずねてください。ike/config ファイルのエントリは次のようになります。

   # Use CRL from organization's LDAP ldap-list "ldap1.sun.com:389,ldap2.sun.com" …

   IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

例 — CRL をローカルの certrldb データベースに貼り付ける

使用する機関の証明書に一元的なディストリビューションポイントが含まれていない場合は、機関の CRL を手動でローカルの certrldb データベースに追加できます。その場合は、機関の説明に従って CRL を抽出し、それを ikecert certrldb –a コマンドでデータベースに追加します。

# ikecert certrldb -a
Return キーを押す
PKI 機関からの CRL を貼り付ける
Return キーを押す
<Control>-D を押して CRL をデータベースに追加する