Los certificados revocados son certificados que están comprometidos por algún motivo. Un certificado revocado que está en uso constituye un riesgo de seguridad. Dispone de opciones para verificar la revocación de certificados. Puede utilizar una lista estática o puede verificar las revocaciones de forma dinámica mediante el protocolo HTTP. Existen cuatro modos de administrar los certificados revocados.
Puede indicar a IKEv1 que ignore CRL u OCSP, cuyo indicador de recursos uniforme (URI) está incrustado en el certificado. Esta opción se muestra en Step 5.
Puede indicar a IKEv1 que acceda a las CRL u OCSP desde una URI cuya dirección está incrustada en el certificado de clave pública de la CA.
Puede indicar a IKEv1 que acceda a las CRL desde un servidor LDAP cuya entrada de DN (nombre de directorio) está incrustada en el certificado de clave pública de la CA.
Puede proporcionar la CRL como argumento para el comando ikecert certrldb. Si desea ver un ejemplo, consulte el Example 10–3.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Para obtener información acerca de los argumentos del comando ikecert certdb, consulte la página del comando man ikecert(1M).
Por ejemplo, el siguiente certificado fue emitido por la PKI de la compañía. Los detalles se han modificado.
# ikecert certdb -lv cert-protect.example.com
Certificate Slot Name: 0 Type: dsa-sha256
(Private key in certlocal slot )
Subject Name: <O=Example, CN=cert-protect.example.com>
Issuer Name: <CN=ExampleCo CO (Cl B), O=Example>
SerialNumber: 14000D93
Validity:
Not Valid Before: 2013 Sep 19th, 21:11:11 GMT
Not Valid After: 2017 Sep 18th, 21:11:11 GMT
Public Key Info:
Public Modulus (n) (2048 bits): C575A…A5
Public Exponent (e) ( 24 bits): 010001
Extensions:
Subject Alternative Names:
DNS = cert-protect.example.com
Key Usage: DigitalSignature KeyEncipherment
[CRITICAL]
CRL Distribution Points:
Full Name:
URI = #Ihttp://www.example.com/pki/pkismica.crl#i
DN = <CN=ExampleCo CO (Cl B), O=Example>
CRL Issuer:
Authority Key ID:
Key ID: 4F … 6B
SubjectKeyID: A5 … FD
Certificate Policies
Authority Information Access
Observe la entrada CRL Distribution Points.
La entrada URI indica que la CRL de esta organización está disponible en Internet.
La entrada DN indica que la CRL está disponible en un servidor LDAP. Cuando IKE accede a la CRL, ésta se almacena en caché para futuros usos.
Para acceder a la CRL, debe alcanzar un punto de distribución.
Agregue la palabra clave use_http al archivo del host /etc/inet/ike/config. Por ejemplo, el archivo ike/config tendría el siguiente aspecto:
# Use CRL or OCSP from organization's URI use_http …
Agregue la palabra clave proxy al archivo ike/config. La palabra clave proxy adopta una dirección URL como argumento, como en el caso siguiente:
# Use web proxy to reach CRLs or OCSP proxy "http://proxy1:8080"
Configure el servidor LDAP como argumento para la palabra clave ldap-list del archivo /etc/inet/ike/config del host. Su organización proporciona el nombre del servidor LDAP. La entrada del archivo ike/config tendría el siguiente aspecto:
# Use CRL from organization's LDAP ldap-list "ldap1.example.com:389,ldap2.example.com" …
IKE recupera la CRL y almacena en caché la CRL hasta que caduque el certificado.
Si la CRL de la CA no está disponible desde el punto de distribución central, puede agregar la CRL manualmente a la base de datos certrldb local. Siga las instrucciones de la CA para extraer la CRL a un archivo y, a continuación, agregue la CRL a la base de datos con el comando ikecert certrldb -a.
# ikecert certrldb -a < ExampleCo.Cert.CRL