Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo definir una política de validación de certificados en IKEv2

Puede configurar varios aspectos de cómo se manejan los certificados para su sistema IKEv2.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

  1. Revise la política de validación de certificados predeterminada.

    La política del certificado se establece en la instalación en el archivo /etc/inet/ike/kmf-policy.xml. El archivo es propiedad de ikeuser y se modifica mediante el comando kmfcfg. La política de validación de certificados predeterminada es descargar las CRL al directorio /var/user/ikeuser/crls. El uso de OCSP también está activado de manera predeterminada. Si el sitio requiere un proxy para acceder a Internet, debe configurar el proxy. Consulte Cómo administrar certificados revocados en IKEv2.

    # pfbash
# kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
Policy Name: default
Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate
Ignore Unknown EKUs: false
Ignore Trust Anchor in Certificate Validation: false
Trust Intermediate CAs as trust anchors: false
Maximum Certificate Path Length: 32
Certificate Validity Period Adjusted Time leeway: [not set]
Trust Anchor Certificate: Search by Issuer
Key Usage Bits: 0Identifies critical parts of certificate
Extended Key Usage Values: [not set]Purposes or applications for the certificate
HTTP Proxy (Global Scope): [not set]
Validation Policy Information:
    Maximum Certificate Revocation Responder Timeout: 10
    Ignore Certificate Revocation Responder Timeout: true
    OCSP:
        Responder URI: [not set]
        OCSP specific proxy override: [not set]
        Use ResponderURI from Certificate: true
        Response lifetime: [not set]
        Ignore Response signature: false
        Responder Certificate: [not set]
    CRL:
        Base filename: [not set]
        Directory: /var/user/ikeuser/crls
        Download and cache CRL: true
        CRL specific proxy override: [not set]
        Ignore CRL signature: false
        Ignore CRL validity date: false
IPsec policy bypass on outgoing connections: true
Certificate to name mapper name: [not set]
Certificate to name mapper pathname: [not set]
Certificate to name mapper directory: [not set]
Certificate to name mapper options: [not set]
  2. Revise el certificado en busca de las funciones que indican las opciones de validación para modificar.

    Por ejemplo, un certificado que incluye una CRL que especifica el URI de OCSP puede usar una política de validación que especifica el URI que se usará para comprobar el estado de revocación del certificado. También puede configurar los tiempos de espera.

  3. Revise la página del comando man kmfcfg(1) para ver opciones configurables.
  4. Configure la política de validación de certificados.

    Para obtener una política de muestra, consulte Cómo administrar certificados revocados en IKEv2.

Copyright © 1999, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente