Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Gestion des certificats révoqués dans IKEv1

Les certificats révoqués est compromis s'effectue à l'aide de certificats pour quelque raison que ce soit. Un certificat révoqué en cours d'utilisation peut poser des problèmes de sécurité. Vous avez la possibilité lors de la vérification de la révocation de certificat. Vous pouvez utiliser une liste statique ou vous pouvez vérifier révocations dynamiquement sur le protocole HTTP. Il existe quatre manières de gérer les certificats révoqués.

  • Vous pouvez demander à IKEv1 les CRL ou OCSP dont l'identificateur universel de ressources (URI) est intégré dans le certificat. Cette option est indiquée à l'Step 5.

  • Vous pouvez dire à IKEv1 d'accéder aux LCR ou OCSP depuis un URI dont l'adresse est intégrée dans le certificat de clé publique de l'AC.

  • Vous pouvez dire à IKEv1 d'accéder aux LCR à partir d'un serveur LDAP dont le nom de répertoire (DN, directory name) est intégré au certificat de clé publique de l'AC.

  • Vous pouvez fournir la LCR comme argument de la commande ikecert certrldb. Pour consulter un exemple, reportez-vous à l'Example 10–3.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Affichez le certificat reçu depuis l'AC.

    Pour plus d'information sur les arguments de la commande ikecert certdb, reportez-vous à la page de manuel ikecert(1M).

    Par exemple, le certificat suivant a été émis par la PKI d'une entreprise. (les détails ont été modifiés).

    # ikecert certdb -lv cert-protect.example.com
    Certificate Slot Name: 0   Type: dsa-sha256
       (Private key in certlocal slot )
     Subject Name: <O=Example, CN=cert-protect.example.com>
     Issuer Name: <CN=ExampleCo CO (Cl B), O=Example>
     SerialNumber: 14000D93
       Validity:
          Not Valid Before: 2013 Sep 19th, 21:11:11 GMT
          Not Valid After:  2017 Sep 18th, 21:11:11 GMT
       Public Key Info:
          Public Modulus  (n) (2048 bits): C575A…A5
          Public Exponent (e) (  24 bits): 010001
       Extensions:
          Subject Alternative Names:
                  DNS = cert-protect.example.com
          Key Usage: DigitalSignature KeyEncipherment
          [CRITICAL]
       CRL Distribution Points:
          Full Name:
             URI = #Ihttp://www.example.com/pki/pkismica.crl#i
             DN = <CN=ExampleCo CO (Cl B), O=Example>
          CRL Issuer: 
          Authority Key ID:
          Key ID:              4F … 6B
          SubjectKeyID:        A5 … FD
          Certificate Policies
          Authority Information Access

      Notez l'entrée CRL Distribution Points.

    • L'entrée URI indique que la CRL de cette organisation est disponible sur le Web.

    • L'entrée DN indique que la CRL est disponible sur un serveur LDAP. Après que le protocole IKE a accédé à la CRL, celle-ci est mise en cache en vue de futures utilisations.

    Pour accéder à la CRL, vous devez tout d'abord accéder à un point de distribution.

  2. Choisissez l'une des méthodes suivantes pour accéder à la CRL depuis un point de distribution central.
    • Utilisez l'URI.

      Ajoutez le mot-clé use_http au fichier /etc/inet/ike/config de l'hôte. Le fichier ike/config se présente comme suit :

      # Use CRL or OCSP from organization's URI
      use_http
    • Utilisez un proxy Web.

      Ajoutez le mot-clé proxy au fichier ike/config. Le mot-clé proxy adopte une URL comme argument, comme indiqué ci-dessous :

      # Use web proxy to reach CRLs or OCSP
      proxy "http://proxy1:8080"
    • Utilisez un serveur LDAP.

      Utilisez le nom du serveur LDAP comme argument du mot-clé ldap-list dans le fichier /etc/inet/ike/config de l'hôte. Le nom du serveur LDAP est fourni par votre organisation. L'entrée dans le fichier ike/config se présente comme suit :

      # Use CRL from organization's LDAP
      ldap-list "ldap1.example.com:389,ldap2.example.com"
      …

    Le protocole IKE récupère la CRL et la met en cache jusqu'à ce que le certificat expire.

Exemple 10-3  Ajout d'une LCR à la base de données certrldb locale pour IKEv1

Si la LCR de l'AC n'est pas disponible à partir d'un point de distribution central, vous pouvez l'ajouter manuellement à la base de données certrldb locale. Pour extraire la LCR dans un fichier, suivez les instructions de l'AC, puis ajoutez la LRC à la base de données à l'aide de la commande ikecert certrldb -a.

# ikecert certrldb -a < ExampleCo.Cert.CRL