Puede configurar varios aspectos de cómo se manejan los certificados para su sistema IKEv2.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
La política del certificado se establece en la instalación en el archivo /etc/inet/ike/kmf-policy.xml. El archivo es propiedad de ikeuser y se modifica mediante el comando kmfcfg. La política de validación de certificados predeterminada es descargar las CRL al directorio /var/user/ikeuser/crls. El uso de OCSP también está activado de manera predeterminada. Si el sitio requiere un proxy para acceder a Internet, debe configurar el proxy. Consulte Cómo administrar certificados revocados en IKEv2.
# pfbash # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default Policy Name: default Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate Ignore Unknown EKUs: false Ignore Trust Anchor in Certificate Validation: false Trust Intermediate CAs as trust anchors: false Maximum Certificate Path Length: 32 Certificate Validity Period Adjusted Time leeway: [not set] Trust Anchor Certificate: Search by Issuer Key Usage Bits: 0Identifies critical parts of certificate Extended Key Usage Values: [not set]Purposes or applications for the certificate HTTP Proxy (Global Scope): [not set] Validation Policy Information: Maximum Certificate Revocation Responder Timeout: 10 Ignore Certificate Revocation Responder Timeout: true OCSP: Responder URI: [not set] OCSP specific proxy override: [not set] Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set] CRL: Base filename: [not set] Directory: /var/user/ikeuser/crls Download and cache CRL: true CRL specific proxy override: [not set] Ignore CRL signature: false Ignore CRL validity date: false IPsec policy bypass on outgoing connections: true Certificate to name mapper name: [not set] Certificate to name mapper pathname: [not set] Certificate to name mapper directory: [not set] Certificate to name mapper options: [not set]
Por ejemplo, un certificado que incluye una CRL que especifica el URI de OCSP puede usar una política de validación que especifica el URI que se usará para comprobar el estado de revocación del certificado. También puede configurar los tiempos de espera.
Para obtener una política de muestra, consulte Cómo administrar certificados revocados en IKEv2.