Oracle® Solaris 11.2 でのネットワークのセキュリティー保護

印刷ビューの終了

 
更新: 2014 年 9 月
 
 

IKEv2 で失効した証明書を処理する方法

失効した証明書とは、なんらかの理由で効力を失った証明書です。失効した証明書を使用していると、セキュリティーのリスクとなります。証明書の失効を確認する際のオプションがあります。静的なリストを使用するか、HTTP プロトコルを介して失効を動的に確認できます。

始める前に

CA から証明書を受け取ってインストールしていること。

失効した証明書を確認する CRL および OSCP メソッドに精通していること。詳細およびポインタについては、IKE と公開鍵証明書を参照してください。

Network IPsec Management 権利プロファイルが割り当てられている管理者になり、プロファイルシェルを使用する必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

  1. CA から受け取った証明書内の CRL および OCSP セクションを探します。

    CSR のラベルから証明書を識別できます。

    # pfbash
# ikev2cert list objtype=cert | grep Label:
Enter PIN for Sun Software PKCS#11 softtoken: 
        Label: Partym1

    たとえば、次の出力の抜粋は、証明書内の CRL および OCSP URI の部分を表示しています。

    # ikev2cert list objtype=cert label=Partym1
X509v3 extensions:
    ...
    X509v3 CRL Distribution Points:
         Full Name:
       URI:http://onsitecrl.PKI.example.com/OCCIPsec/LatestCRL.crl
    X509v3 Authority Key Identifier:
         ...
    Authority Information Access:
        OCSP - URI:http://ocsp.PKI.example.com/revokes/
    X509v3 Certificate Policies:
         Policy: 2.16.840.1.113733.1.7.23.2

    CRL Distribution Points エントリで、URI 値はこの組織の CRL が Web 上のファイルで利用可能であることを示しています。OCSP エントリは、個々の証明書のステータスをサーバーから動的に判断できることを示しています。

  2. プロキシを指定して CRL または OCSP サーバーの使用を有効にします。 
    # kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml \
policy=default \
http-proxy=www-proxy.ja.example.com:80

    プロキシがオプションのサイトでは、プロキシを指定する必要はありません。

  3. 証明書検証ポリシーが更新されていることを確認します。

    たとえば、OCSP が更新されたことを確認します。

    # kmfcfg list \
dbfile=/etc/inet/ike/kmf-policy.xml \
policy=default
...
    OCSP:
        Responder URI: [not set]
        Proxy: www-proxy.ja.example.com:80
        Use ResponderURI from Certificate: true
        Response lifetime: [not set]
        Ignore Response signature: false
        Responder Certificate: [not set]
  4. IKEv2 サービスを再起動します。 
    # svcadm restart ikev2
  5. (オプション) CRL または OCSP の使用を停止します。
    • CRL の使用を停止するには、次を入力します。 
      # pfexec kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
crl-none=true

      crl-none=true 引数は、ローカルキャッシュからダウンロードした CRL を使用するようにシステムに強制します。

    • OCSP の使用を停止するには、次を入力します。 
      # pfexec kmfcfg modify \
dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
ocsp-none=true
使用例 9-4  システムが IKEv2 証明書検証を待機する時間を変更する

この例では、管理者が証明書の検証の待機を 20 秒に制限します。

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    cert-revoke-responder-timeout=20

デフォルトでは、応答がタイムアウトすると、ピアの認証が成功します。ここでは、認証に失敗すると接続が拒否されるポリシーを管理者が構成します。この構成では、OCSP または CRL サーバーが応答しなくなると証明書検証が失敗します。

# kmfcfg modify dbfile=/etc/inet/ike/kmf-policy.xml policy=default \
    ignore-cert-revoke-responder-timeout=false

ポリシーをアクティブ化するには、管理者が IKEv2 サービスを再起動します。

# svcadm restart ikev2
Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ