Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Définition d'une stratégie de validation de certificats dans IKEv2

Vous pouvez configurer plusieurs aspects de la manière dont les certificats sont gérés pour votre système IKEv2.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Vérifiez la stratégie par défaut de validation des certificats.

    La stratégie pour les certificats est réglée à l'installation dans le fichier /etc/inet/ike/kmf-policy.xml. Le fichier appartient à ikeuser et se modifie à l'aide de la commande kmfcfg. La stratégie par défaut de validation de certificats est de télécharger les LCR vers le répertoire /var/user/ikeuser/crls. L'utilisation d'OCSP est également activée par défaut. Si votre site requiert un proxy pour accéder à Internet, vous devez configurer le proxy. Reportez-vous à la section Gestion des certificats révoqués dans IKEv2.

    # pfbash
    # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
    Policy Name: default
    Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate
    Ignore Unknown EKUs: false
    Ignore Trust Anchor in Certificate Validation: false
    Trust Intermediate CAs as trust anchors: false
    Maximum Certificate Path Length: 32
    Certificate Validity Period Adjusted Time leeway: [not set]
    Trust Anchor Certificate: Search by Issuer
    Key Usage Bits: 0Identifies critical parts of certificate
    Extended Key Usage Values: [not set]Purposes or applications for the certificate
    HTTP Proxy (Global Scope): [not set]
    Validation Policy Information:
        Maximum Certificate Revocation Responder Timeout: 10
        Ignore Certificate Revocation Responder Timeout: true
        OCSP:
            Responder URI: [not set]
            OCSP specific proxy override: [not set]
            Use ResponderURI from Certificate: true
            Response lifetime: [not set]
            Ignore Response signature: false
            Responder Certificate: [not set]
        CRL:
            Base filename: [not set]
            Directory: /var/user/ikeuser/crls
            Download and cache CRL: true
            CRL specific proxy override: [not set]
            Ignore CRL signature: false
            Ignore CRL validity date: false
    IPsec policy bypass on outgoing connections: true
    Certificate to name mapper name: [not set]
    Certificate to name mapper pathname: [not set]
    Certificate to name mapper directory: [not set]
    Certificate to name mapper options: [not set]
  2. Vérifiez le certificat pour les fonctionnalités qui indiquent les options de validation permettant d'apporter des modifications.

    Par exemple, un certificat OCSP qui fait l'objet d'un URI CRL URI ou stratégie peut utiliser URI qui spécifie la validation à utiliser pour contrôler le statut de révocation de certificat. Vous pouvez également configurer des délais d'expiration.

  3. Passez en revue la page de manuel kmfcfg(1) pour des options configurables.
  4. Configurer la stratégie de validation du certificat.

    Pour consulter un exemple de stratégie, reportez-vous à Gestion des certificats révoqués dans IKEv2.