Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo definir una política de validación de certificados en IKEv2

Puede configurar varios aspectos de cómo se manejan los certificados para su sistema IKEv2.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

  1. Revise la política de validación de certificados predeterminada.

    La política del certificado se establece en la instalación en el archivo /etc/inet/ike/kmf-policy.xml. El archivo es propiedad de ikeuser y se modifica mediante el comando kmfcfg. La política de validación de certificados predeterminada es descargar las CRL al directorio /var/user/ikeuser/crls. El uso de OCSP también está activado de manera predeterminada. Si el sitio requiere un proxy para acceder a Internet, debe configurar el proxy. Consulte Cómo administrar certificados revocados en IKEv2.

    # pfbash
    # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
    Policy Name: default
    Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate
    Ignore Unknown EKUs: false
    Ignore Trust Anchor in Certificate Validation: false
    Trust Intermediate CAs as trust anchors: false
    Maximum Certificate Path Length: 32
    Certificate Validity Period Adjusted Time leeway: [not set]
    Trust Anchor Certificate: Search by Issuer
    Key Usage Bits: 0Identifies critical parts of certificate
    Extended Key Usage Values: [not set]Purposes or applications for the certificate
    HTTP Proxy (Global Scope): [not set]
    Validation Policy Information:
        Maximum Certificate Revocation Responder Timeout: 10
        Ignore Certificate Revocation Responder Timeout: true
        OCSP:
            Responder URI: [not set]
            OCSP specific proxy override: [not set]
            Use ResponderURI from Certificate: true
            Response lifetime: [not set]
            Ignore Response signature: false
            Responder Certificate: [not set]
        CRL:
            Base filename: [not set]
            Directory: /var/user/ikeuser/crls
            Download and cache CRL: true
            CRL specific proxy override: [not set]
            Ignore CRL signature: false
            Ignore CRL validity date: false
    IPsec policy bypass on outgoing connections: true
    Certificate to name mapper name: [not set]
    Certificate to name mapper pathname: [not set]
    Certificate to name mapper directory: [not set]
    Certificate to name mapper options: [not set]
  2. Revise el certificado en busca de las funciones que indican las opciones de validación para modificar.

    Por ejemplo, un certificado que incluye una CRL que especifica el URI de OCSP puede usar una política de validación que especifica el URI que se usará para comprobar el estado de revocación del certificado. También puede configurar los tiempos de espera.

  3. Revise la página del comando man kmfcfg(1) para ver opciones configurables.
  4. Configure la política de validación de certificados.

    Para obtener una política de muestra, consulte Cómo administrar certificados revocados en IKEv2.