失効した証明書とは、なんらかの理由で効力を失った証明書です。失効した証明書を使用していると、セキュリティーのリスクとなります。証明書の失効を確認する際のオプションがあります。静的なリストを使用するか、HTTP プロトコルを介して失効を動的に確認できます。
始める前に
CA から証明書を受け取ってインストールしていること。
失効した証明書を確認する CRL および OSCP メソッドに精通していること。詳細およびポインタについては、IKE と公開鍵証明書を参照してください。
Network IPsec Management 権利プロファイルが割り当てられている管理者になり、プロファイルシェルを使用する必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
# pfbash # ikev2cert list objtype=cert | grep Label: Enter PIN for Sun Software PKCS#11 softtoken: Label: Partym1
たとえば、次の出力の抜粋は、証明書内の CRL および OCSP URI の部分を表示しています。
# ikev2cert list objtype=cert label=Partym1 X509v3 extensions: ... X509v3 CRL Distribution Points: Full Name: URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl X509v3 Authority Key Identifier: ... Authority Information Access: OCSP - URI:http://ocsp.PKI.example.com/revokes/ X509v3 Certificate Policies: Policy: 2.16.840.1.113733.1.7.23.2
CRL Distribution Points エントリで、URI 値はこの組織の CRL が Web 上のファイルで利用可能であることを示しています。OCSP エントリは、個々の証明書のステータスをサーバーから動的に判断できることを示しています。
# kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default \ http-proxy=www-proxy.ja.example.com:80
プロキシがオプションのサイトでは、プロキシを指定する必要はありません。
たとえば、OCSP が更新されたことを確認します。
# kmfcfg list \ dbfile=/etc/inet/ike/kmf-policy.xml \ policy=default ... OCSP: Responder URI: [not set] Proxy: www-proxy.ja.example.com:80 Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set]
# svcadm restart ikev2
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ crl-none=true
crl-none=true 引数は、ローカルキャッシュからダウンロードした CRL を使用するようにシステムに強制します。
# pfexec kmfcfg modify \ dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ocsp-none=true
この例では、管理者が証明書の検証の待機を 20 秒に制限します。
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ cert-revoke-responder-timeout=20
デフォルトでは、応答がタイムアウトすると、ピアの認証が成功します。ここでは、認証に失敗すると接続が拒否されるポリシーを管理者が構成します。この構成では、OCSP または CRL サーバーが応答しなくなると証明書検証が失敗します。
# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \ ignore-cert-revoke-responder-timeout=false
ポリシーをアクティブ化するには、管理者が IKEv2 サービスを再起動します。
# svcadm restart ikev2