Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Gestion des certificats révoqués dans IKEv2

Les certificats révoqués est compromis s'effectue à l'aide de certificats pour quelque raison que ce soit. Un certificat révoqué en cours d'utilisation peut poser des problèmes de sécurité. Vous avez la possibilité lors de la vérification de la révocation de certificat. Vous pouvez utiliser une liste statique ou vous pouvez vérifier révocations dynamiquement sur le protocole HTTP.

Avant de commencer

Vous avez réceptionné et à partir d'un CA certificats installés.

Vous êtes familiarisé avec les méthodes OSCP CRL de recherche des et les certificats révoqués. Pour obtenir des informations et des conseils, reportez-vous à IKE avec certificats de clés publiques.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau) et utiliser un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Localisez les sections LCR et OCSP dans le certificat reçu depuis l'AC.

    Vous pouvez identifier le certificat à partir de l'étiquette de votre CSR.

    # pfbash
    # ikev2cert list objtype=cert | grep Label:
    Enter PIN for Sun Software PKCS#11 softtoken: 
            Label: Partym1

    Par exemple, la sortie tronquée suivante met en évidence les URI de la LCR et de l'OCSP dans un certificat.

    # ikev2cert list objtype=cert label=Partym1
    X509v3 extensions:
        ...
        X509v3 CRL Distribution Points:
             Full Name:
           URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl
        X509v3 Authority Key Identifier:
             ...
        Authority Information Access:
            OCSP - URI:http://ocsp.PKI.example.com/revokes/
        X509v3 Certificate Policies:
             Policy: 2.16.840.1.113733.1.7.23.2

    Sous l'entrée CRL Distribution Points, l'URI indique que la LCR de cette organisation est disponible dans un fichier sur le Web. La OCSP saisie indique que le statut des différents certificats peuvent être déterminée de manière dynamique à partir d'un serveur.

  2. Activez l'utilisation de LCR ou d'un serveur OCSP en spécifiant un proxy.
    # kmfcfg modify \
    dbfile=/etc/inet/ike/kmf-policy.xml \
    policy=default \
    http-proxy=www-proxy.ja.example.com:80

    Sur les sites où un proxy est facultatif, vous n'avez pas besoin d'indiquer un vous-même .

  3. Stratégie assurez-vous que le certificat de validation est mis à jour.

    Par exemple, vérifiez que le OCSP a été mise à jour.

    # kmfcfg list \
    dbfile=/etc/inet/ike/kmf-policy.xml \
    policy=default
    ...
        OCSP:
            Responder URI: [not set]
            Proxy: www-proxy.ja.example.com:80
            Use ResponderURI from Certificate: true
            Response lifetime: [not set]
            Ignore Response signature: false
            Responder Certificate: [not set]
  4. Redémarrez le service IKEv2.
    # svcadm restart ikev2
  5. (Facultatif) Ou OCSP arrêter d'utiliser des listes de certificats révoqués.
    • Pour arrêter d'utiliser les listes de révocation de certificats, saisissez :
      # pfexec kmfcfg modify \
      dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
      crl-none=true

      L'argument crl-none=true force le système à utiliser les LCR téléchargés dans le cache local.

    • Pour arrêter d'utiliser OCSP, tapez :
      # pfexec kmfcfg modify \
      dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
      ocsp-none=true
Exemple 9-4  Modification du temps d'attente d'un système pour la vérification de certificat IKEv2

Dans cet exemple, l'administrateur limite l'attente à vingt secondes pour la vérification de certificat.

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    cert-revoke-responder-timeout=20

Par défaut, lorsqu'une réponse arrive à expiration, l'authentification de l'homologue réussit. Ici, l'administrateur configure une stratégie selon laquelle la connexion est refusée quand l'authentification échoue. Dans cette configuration, la validation de certificat échoue quand un serveur OCSP ou CRL ne répond plus.

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    ignore-cert-revoke-responder-timeout=false

Pour activer la stratégie, l'administrateur redémarre le service IKEv2.

# svcadm restart ikev2