Oracle® Solaris 11.2 でのネットワークのセキュリティー保護

印刷ビューの終了

 
更新: 2014 年 9 月
 
 

IKEv2 で証明書検証ポリシーを設定する方法

IKEv2 システムでの証明書の処理方法に関するいくつかの要素を構成できます。

始める前に

Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

リモートで管理する場合は、Example 7–1 およびOracle Solaris 11.2 での Secure Shell アクセスの管理 のSecure Shell を使用して ZFS をリモートで管理する方法でセキュアなリモートログイン手順を確認してください。

  1. デフォルトの証明書検証ポリシーを表示します。

    証明書ポリシーはインストール時に /etc/inet/ike/kmf-policy.xml ファイルに設定されます。このファイルは ikeuser によって所有され、kmfcfg コマンドを使用して変更します。デフォルトの証明書検証ポリシーは、CRL を /var/user/ikeuser/crls ディレクトリにダウンロードします。OCSP の使用もデフォルトで有効になっています。サイトがインターネットへの接続にプロキシを要求する場合は、プロキシを構成する必要があります。IKEv2 で失効した証明書を処理する方法を参照してください。

    # pfbash
# kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
Policy Name: default
Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate
Ignore Unknown EKUs: false
Ignore Trust Anchor in Certificate Validation: false
Trust Intermediate CAs as trust anchors: false
Maximum Certificate Path Length: 32
Certificate Validity Period Adjusted Time leeway: [not set]
Trust Anchor Certificate: Search by Issuer
Key Usage Bits: 0Identifies critical parts of certificate
Extended Key Usage Values: [not set]Purposes or applications for the certificate
HTTP Proxy (Global Scope): [not set]
Validation Policy Information:
    Maximum Certificate Revocation Responder Timeout: 10
    Ignore Certificate Revocation Responder Timeout: true
    OCSP:
        Responder URI: [not set]
        OCSP specific proxy override: [not set]
        Use ResponderURI from Certificate: true
        Response lifetime: [not set]
        Ignore Response signature: false
        Responder Certificate: [not set]
    CRL:
        Base filename: [not set]
        Directory: /var/user/ikeuser/crls
        Download and cache CRL: true
        CRL specific proxy override: [not set]
        Ignore CRL signature: false
        Ignore CRL validity date: false
IPsec policy bypass on outgoing connections: true
Certificate to name mapper name: [not set]
Certificate to name mapper pathname: [not set]
Certificate to name mapper directory: [not set]
Certificate to name mapper options: [not set]
  2. 証明書で、変更する検証オプションを示す機能を確認します。

    たとえば、CRL または OCSP URI を含む証明書は、使用する URI を指定して証明書の失効ステータスを確認する検証ポリシーを使用できます。タイムアウトを構成することもできます。

  3. kmfcfg(1) のマニュアルページで構成オプションを確認してください。
  4. 証明書検証ポリシーを構成します。

    サンプルポリシーについては、IKEv2 で失効した証明書を処理する方法を参照してください。

Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ