Les certificats révoqués est compromis s'effectue à l'aide de certificats pour quelque raison que ce soit. Un certificat révoqué en cours d'utilisation peut poser des problèmes de sécurité. Vous avez la possibilité lors de la vérification de la révocation de certificat. Vous pouvez utiliser une liste statique ou vous pouvez vérifier révocations dynamiquement sur le protocole HTTP. Il existe quatre manières de gérer les certificats révoqués.
Vous pouvez demander à IKEv1 les CRL ou OCSP dont l'identificateur universel de ressources (URI) est intégré dans le certificat. Cette option est indiquée à l'Step 5.
Vous pouvez dire à IKEv1 d'accéder aux LCR ou OCSP depuis un URI dont l'adresse est intégrée dans le certificat de clé publique de l'AC.
Vous pouvez dire à IKEv1 d'accéder aux LCR à partir d'un serveur LDAP dont le nom de répertoire (DN, directory name) est intégré au certificat de clé publique de l'AC.
Vous pouvez fournir la LCR comme argument de la commande ikecert certrldb. Pour consulter un exemple, reportez-vous à l'Example 10–3.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Pour plus d'information sur les arguments de la commande ikecert certdb, reportez-vous à la page de manuel ikecert(1M).
Par exemple, le certificat suivant a été émis par la PKI d'une entreprise. (les détails ont été modifiés).
# ikecert certdb -lv cert-protect.example.com
Certificate Slot Name: 0 Type: dsa-sha256
(Private key in certlocal slot )
Subject Name: <O=Example, CN=cert-protect.example.com>
Issuer Name: <CN=ExampleCo CO (Cl B), O=Example>
SerialNumber: 14000D93
Validity:
Not Valid Before: 2013 Sep 19th, 21:11:11 GMT
Not Valid After: 2017 Sep 18th, 21:11:11 GMT
Public Key Info:
Public Modulus (n) (2048 bits): C575A…A5
Public Exponent (e) ( 24 bits): 010001
Extensions:
Subject Alternative Names:
DNS = cert-protect.example.com
Key Usage: DigitalSignature KeyEncipherment
[CRITICAL]
CRL Distribution Points:
Full Name:
URI = #Ihttp://www.example.com/pki/pkismica.crl#i
DN = <CN=ExampleCo CO (Cl B), O=Example>
CRL Issuer:
Authority Key ID:
Key ID: 4F … 6B
SubjectKeyID: A5 … FD
Certificate Policies
Authority Information Access
Notez l'entrée CRL Distribution Points.
L'entrée URI indique que la CRL de cette organisation est disponible sur le Web.
L'entrée DN indique que la CRL est disponible sur un serveur LDAP. Après que le protocole IKE a accédé à la CRL, celle-ci est mise en cache en vue de futures utilisations.
Pour accéder à la CRL, vous devez tout d'abord accéder à un point de distribution.
Ajoutez le mot-clé use_http au fichier /etc/inet/ike/config de l'hôte. Le fichier ike/config se présente comme suit :
# Use CRL or OCSP from organization's URI use_http …
Ajoutez le mot-clé proxy au fichier ike/config. Le mot-clé proxy adopte une URL comme argument, comme indiqué ci-dessous :
# Use web proxy to reach CRLs or OCSP proxy "http://proxy1:8080"
Utilisez le nom du serveur LDAP comme argument du mot-clé ldap-list dans le fichier /etc/inet/ike/config de l'hôte. Le nom du serveur LDAP est fourni par votre organisation. L'entrée dans le fichier ike/config se présente comme suit :
# Use CRL from organization's LDAP ldap-list "ldap1.example.com:389,ldap2.example.com" …
Le protocole IKE récupère la CRL et la met en cache jusqu'à ce que le certificat expire.
Si la LCR de l'AC n'est pas disponible à partir d'un point de distribution central, vous pouvez l'ajouter manuellement à la base de données certrldb locale. Pour extraire la LCR dans un fichier, suivez les instructions de l'AC, puis ajoutez la LRC à la base de données à l'aide de la commande ikecert certrldb -a.
# ikecert certrldb -a < ExampleCo.Cert.CRL