Les certificats révoqués est compromis s'effectue à l'aide de certificats pour quelque raison que ce soit. Un certificat révoqué en cours d'utilisation peut poser des problèmes de sécurité. Vous avez la possibilité lors de la vérification de la révocation de certificat. Vous pouvez utiliser une liste statique ou vous pouvez vérifier révocations dynamiquement sur le protocole HTTP.
Avant de commencer
Vous avez réceptionné et à partir d'un CA certificats installés.
Vous êtes familiarisé avec les méthodes OSCP CRL de recherche des et les certificats révoqués. Pour obtenir des informations et des conseils, reportez-vous à IKE avec certificats de clés publiques.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau) et utiliser un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Vous pouvez identifier le certificat à partir de l'étiquette de votre CSR.
# pfbash
# ikev2cert list objtype=cert | grep Label:
Enter PIN for Sun Software PKCS#11 softtoken:
Label: Partym1
Par exemple, la sortie tronquée suivante met en évidence les URI de la LCR et de l'OCSP dans un certificat.
# ikev2cert list objtype=cert label=Partym1
X509v3 extensions:
...
X509v3 CRL Distribution Points:
Full Name:
URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl
X509v3 Authority Key Identifier:
...
Authority Information Access:
OCSP - URI:http://ocsp.PKI.example.com/revokes/
X509v3 Certificate Policies:
Policy: 2.16.840.1.113733.1.7.23.2
Sous l'entrée CRL Distribution Points, l'URI indique que la LCR de cette organisation est disponible dans un fichier sur le Web. La OCSP saisie indique que le statut des différents certificats peuvent être déterminée de manière dynamique à partir d'un serveur.
# kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default \ http-proxy=www-proxy.ja.example.com:80
Sur les sites où un proxy est facultatif, vous n'avez pas besoin d'indiquer un vous-même .
Par exemple, vérifiez que le OCSP a été mise à jour.
# kmfcfg list \
dbfile=/etc/inet/ike/kmf-policy.xml \
policy=default
...
OCSP:
Responder URI: [not set]
Proxy: www-proxy.ja.example.com:80
Use ResponderURI from Certificate: true
Response lifetime: [not set]
Ignore Response signature: false
Responder Certificate: [not set]
# svcadm restart ikev2
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ crl-none=true
L'argument crl-none=true force le système à utiliser les LCR téléchargés dans le cache local.
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ocsp-none=true
Dans cet exemple, l'administrateur limite l'attente à vingt secondes pour la vérification de certificat.
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
cert-revoke-responder-timeout=20
Par défaut, lorsqu'une réponse arrive à expiration, l'authentification de l'homologue réussit. Ici, l'administrateur configure une stratégie selon laquelle la connexion est refusée quand l'authentification échoue. Dans cette configuration, la validation de certificat échoue quand un serveur OCSP ou CRL ne répond plus.
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
ignore-cert-revoke-responder-timeout=false
Pour activer la stratégie, l'administrateur redémarre le service IKEv2.
# svcadm restart ikev2