Cómo administrar certificados revocados en IKEv2

Idioma:

Los certificados revocados son certificados que están comprometidos por algún motivo. Un certificado revocado que está en uso constituye un riesgo de seguridad. Dispone de opciones para verificar la revocación de certificados. Puede utilizar una lista estática o puede verificar las revocaciones de forma dinámica mediante el protocolo HTTP.

Antes de empezar

Ha recibido e instalado certificados de una CA.

Está familiarizado con los métodos de CRL y OSCP para comprobación de certificados revocados. Para obtener información y referencias, consulte IKE con certificados de claves públicas.

Debe convertirse en administrador con perfil de derechos de gestión de IPsec de red, y usar un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Ubique las secciones de CRL y OCSP en el certificado que recibió de la CA.

Puede identificar el certificado de la etiqueta de la CSR.

# pfbash
# ikev2cert list objtype=cert | grep Label:
Enter PIN for Sun Software PKCS#11 softtoken: 
        Label: Partym1

Por ejemplo, la siguiente salida truncada, destaca las URI de CRL y OCSP en un certificado.

# ikev2cert list objtype=cert label=Partym1
X509v3 extensions:
    ...
    X509v3 CRL Distribution Points:
         Full Name:
       URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl
    X509v3 Authority Key Identifier:
         ...
    Authority Information Access:
        OCSP - URI:http://ocsp.PKI.example.com/revokes/
    X509v3 Certificate Policies:
         Policy: 2.16.840.1.113733.1.7.23.2

En la entrada CRL Distribution Points, el valor URI indica que esta CRL de la organización está disponible en un archivo en la Web. La entrada de OCSP indica que el estado de los certificados individuales se puede determinar de forma dinámica desde un servidor.

Active el uso de CRL o de un servidor de OCSP mediante la especificación de un proxy.
```
# kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml \
policy=default \
http-proxy=www-proxy.ja.example.com:80
```
En sitios donde un proxy es opcional, no necesita especificar uno.

Compruebe que la política de validación de certificados esté actualizada.

Por ejemplo, compruebe que se haya actualizado el OCSP.

# kmfcfg list \
dbfile=/etc/inet/ike/kmf-policy.xml \
policy=default
...
    OCSP:
        Responder URI: [not set]
        Proxy: www-proxy.ja.example.com:80
        Use ResponderURI from Certificate: true
        Response lifetime: [not set]
        Ignore Response signature: false
        Responder Certificate: [not set]

Reinicie el servicio IKEv2.
```
# svcadm restart ikev2
```
(Opcional) Deje de usar CRL u OCSP.
- Para dejar de usar las CRL, escriba:
```
# pfexec kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
crl-none=true
```
  El argumento crl-none=true obliga al sistema a usar las CRL descargadas de la memoria caché local.
- Para dejar de usar OCSP, escriba:
```
# pfexec kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
ocsp-none=true
```

Ejemplo 9-4 Cambio de tiempo que el sistema espera para la verificación del certificado IKEv2

En este ejemplo, el administrador limita la espera a veinte segundos para la verificación de un certificado.

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    cert-revoke-responder-timeout=20

De manera predeterminada, cuando una respuesta agota el tiempo de espera, la autenticación del par se realiza correctamente. Aquí, el administrador configura una política en la que la conexión se rechaza cuando falla la autenticación. En esta configuración, la validación del certificado falla cuando un servidor de OCSP o CRL deja de responder.

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    ignore-cert-revoke-responder-timeout=false

Para activar la política, el administrador reinicia el servicio IKEv2.

# svcadm restart ikev2