IKEv2 システムでの証明書の処理方法に関するいくつかの要素を構成できます。
始める前に
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。プロファイルシェルで入力する必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
リモートで管理する場合は、Example 7–1 およびOracle Solaris 11.2 での Secure Shell アクセスの管理 のSecure Shell を使用して ZFS をリモートで管理する方法でセキュアなリモートログイン手順を確認してください。
証明書ポリシーはインストール時に /etc/inet/ike/kmf-policy.xml ファイルに設定されます。このファイルは ikeuser によって所有され、kmfcfg コマンドを使用して変更します。デフォルトの証明書検証ポリシーは、CRL を /var/user/ikeuser/crls ディレクトリにダウンロードします。OCSP の使用もデフォルトで有効になっています。サイトがインターネットへの接続にプロキシを要求する場合は、プロキシを構成する必要があります。IKEv2 で失効した証明書を処理する方法を参照してください。
# pfbash # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default Policy Name: default Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate Ignore Unknown EKUs: false Ignore Trust Anchor in Certificate Validation: false Trust Intermediate CAs as trust anchors: false Maximum Certificate Path Length: 32 Certificate Validity Period Adjusted Time leeway: [not set] Trust Anchor Certificate: Search by Issuer Key Usage Bits: 0Identifies critical parts of certificate Extended Key Usage Values: [not set]Purposes or applications for the certificate HTTP Proxy (Global Scope): [not set] Validation Policy Information: Maximum Certificate Revocation Responder Timeout: 10 Ignore Certificate Revocation Responder Timeout: true OCSP: Responder URI: [not set] OCSP specific proxy override: [not set] Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set] CRL: Base filename: [not set] Directory: /var/user/ikeuser/crls Download and cache CRL: true CRL specific proxy override: [not set] Ignore CRL signature: false Ignore CRL validity date: false IPsec policy bypass on outgoing connections: true Certificate to name mapper name: [not set] Certificate to name mapper pathname: [not set] Certificate to name mapper directory: [not set] Certificate to name mapper options: [not set]
たとえば、CRL または OCSP URI を含む証明書は、使用する URI を指定して証明書の失効ステータスを確認する検証ポリシーを使用できます。タイムアウトを構成することもできます。
サンプルポリシーについては、IKEv2 で失効した証明書を処理する方法を参照してください。