Vous pouvez configurer plusieurs aspects de la manière dont les certificats sont gérés pour votre système IKEv2.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.
La stratégie pour les certificats est réglée à l'installation dans le fichier /etc/inet/ike/kmf-policy.xml. Le fichier appartient à ikeuser et se modifie à l'aide de la commande kmfcfg. La stratégie par défaut de validation de certificats est de télécharger les LCR vers le répertoire /var/user/ikeuser/crls. L'utilisation d'OCSP est également activée par défaut. Si votre site requiert un proxy pour accéder à Internet, vous devez configurer le proxy. Reportez-vous à la section Gestion des certificats révoqués dans IKEv2.
# pfbash # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default Policy Name: default Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate Ignore Unknown EKUs: false Ignore Trust Anchor in Certificate Validation: false Trust Intermediate CAs as trust anchors: false Maximum Certificate Path Length: 32 Certificate Validity Period Adjusted Time leeway: [not set] Trust Anchor Certificate: Search by Issuer Key Usage Bits: 0Identifies critical parts of certificate Extended Key Usage Values: [not set]Purposes or applications for the certificate HTTP Proxy (Global Scope): [not set] Validation Policy Information: Maximum Certificate Revocation Responder Timeout: 10 Ignore Certificate Revocation Responder Timeout: true OCSP: Responder URI: [not set] OCSP specific proxy override: [not set] Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set] CRL: Base filename: [not set] Directory: /var/user/ikeuser/crls Download and cache CRL: true CRL specific proxy override: [not set] Ignore CRL signature: false Ignore CRL validity date: false IPsec policy bypass on outgoing connections: true Certificate to name mapper name: [not set] Certificate to name mapper pathname: [not set] Certificate to name mapper directory: [not set] Certificate to name mapper options: [not set]
Par exemple, un certificat OCSP qui fait l'objet d'un URI CRL URI ou stratégie peut utiliser URI qui spécifie la validation à utiliser pour contrôler le statut de révocation de certificat. Vous pouvez également configurer des délais d'expiration.
Pour consulter un exemple de stratégie, reportez-vous à Gestion des certificats révoqués dans IKEv2.