Los certificados revocados son certificados que están comprometidos por algún motivo. Un certificado revocado que está en uso constituye un riesgo de seguridad. Dispone de opciones para verificar la revocación de certificados. Puede utilizar una lista estática o puede verificar las revocaciones de forma dinámica mediante el protocolo HTTP.
Antes de empezar
Ha recibido e instalado certificados de una CA.
Está familiarizado con los métodos de CRL y OSCP para comprobación de certificados revocados. Para obtener información y referencias, consulte IKE con certificados de claves públicas.
Debe convertirse en administrador con perfil de derechos de gestión de IPsec de red, y usar un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Puede identificar el certificado de la etiqueta de la CSR.
# pfbash # ikev2cert list objtype=cert | grep Label: Enter PIN for Sun Software PKCS#11 softtoken: Label: Partym1
Por ejemplo, la siguiente salida truncada, destaca las URI de CRL y OCSP en un certificado.
# ikev2cert list objtype=cert label=Partym1 X509v3 extensions: ... X509v3 CRL Distribution Points: Full Name: URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl X509v3 Authority Key Identifier: ... Authority Information Access: OCSP - URI:http://ocsp.PKI.example.com/revokes/ X509v3 Certificate Policies: Policy: 2.16.840.1.113733.1.7.23.2
En la entrada CRL Distribution Points, el valor URI indica que esta CRL de la organización está disponible en un archivo en la Web. La entrada de OCSP indica que el estado de los certificados individuales se puede determinar de forma dinámica desde un servidor.
# kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default \ http-proxy=www-proxy.ja.example.com:80
En sitios donde un proxy es opcional, no necesita especificar uno.
Por ejemplo, compruebe que se haya actualizado el OCSP.
# kmfcfg list \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default ... OCSP: Responder URI: [not set] Proxy: www-proxy.ja.example.com:80 Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set]
# svcadm restart ikev2
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ crl-none=true
El argumento crl-none=true obliga al sistema a usar las CRL descargadas de la memoria caché local.
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ocsp-none=true
En este ejemplo, el administrador limita la espera a veinte segundos para la verificación de un certificado.
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ cert-revoke-responder-timeout=20
De manera predeterminada, cuando una respuesta agota el tiempo de espera, la autenticación del par se realiza correctamente. Aquí, el administrador configura una política en la que la conexión se rechaza cuando falla la autenticación. En esta configuración, la validación del certificado falla cuando un servidor de OCSP o CRL deja de responder.
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ignore-cert-revoke-responder-timeout=false
Para activar la política, el administrador reinicia el servicio IKEv2.
# svcadm restart ikev2