Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Définition d'une stratégie de validation de certificats dans IKEv2

Vous pouvez configurer plusieurs aspects de la manière dont les certificats sont gérés pour votre système IKEv2.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Vérifiez la stratégie par défaut de validation des certificats.

    La stratégie pour les certificats est réglée à l'installation dans le fichier /etc/inet/ike/kmf-policy.xml. Le fichier appartient à ikeuser et se modifie à l'aide de la commande kmfcfg. La stratégie par défaut de validation de certificats est de télécharger les LCR vers le répertoire /var/user/ikeuser/crls. L'utilisation d'OCSP est également activée par défaut. Si votre site requiert un proxy pour accéder à Internet, vous devez configurer le proxy. Reportez-vous à la section Gestion des certificats révoqués dans IKEv2.

    # pfbash
# kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
Policy Name: default
Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate
Ignore Unknown EKUs: false
Ignore Trust Anchor in Certificate Validation: false
Trust Intermediate CAs as trust anchors: false
Maximum Certificate Path Length: 32
Certificate Validity Period Adjusted Time leeway: [not set]
Trust Anchor Certificate: Search by Issuer
Key Usage Bits: 0Identifies critical parts of certificate
Extended Key Usage Values: [not set]Purposes or applications for the certificate
HTTP Proxy (Global Scope): [not set]
Validation Policy Information:
    Maximum Certificate Revocation Responder Timeout: 10
    Ignore Certificate Revocation Responder Timeout: true
    OCSP:
        Responder URI: [not set]
        OCSP specific proxy override: [not set]
        Use ResponderURI from Certificate: true
        Response lifetime: [not set]
        Ignore Response signature: false
        Responder Certificate: [not set]
    CRL:
        Base filename: [not set]
        Directory: /var/user/ikeuser/crls
        Download and cache CRL: true
        CRL specific proxy override: [not set]
        Ignore CRL signature: false
        Ignore CRL validity date: false
IPsec policy bypass on outgoing connections: true
Certificate to name mapper name: [not set]
Certificate to name mapper pathname: [not set]
Certificate to name mapper directory: [not set]
Certificate to name mapper options: [not set]
  2. Vérifiez le certificat pour les fonctionnalités qui indiquent les options de validation permettant d'apporter des modifications.

    Par exemple, un certificat OCSP qui fait l'objet d'un URI CRL URI ou stratégie peut utiliser URI qui spécifie la validation à utiliser pour contrôler le statut de révocation de certificat. Vous pouvez également configurer des délais d'expiration.

  3. Passez en revue la page de manuel kmfcfg(1) pour des options configurables.
  4. Configurer la stratégie de validation du certificat.

    Pour consulter un exemple de stratégie, reportez-vous à Gestion des certificats révoqués dans IKEv2.

Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant