您可以针对证书在 IKEv2 系统中的处理方式执行多方面的配置。
开始之前
您必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员。您必须在配置文件 shell 中键入信息。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
如果执行远程管理,请参见Example 7–1 和在 Oracle Solaris 11.2 中管理安全 Shell 访问 中的如何使用安全 Shell 远程管理 ZFS,了解进行安全远程登录的说明。
证书策略是在安装时在 /etc/inet/ike/kmf-policy.xml 文件中设置的。此文件归 ikeuser 所有,可以使用 kmfcfg 命令进行修改。缺省证书验证策略是将 CRL 下载到 /var/user/ikeuser/crls 目录。缺省情况下允许使用 OCSP。如果站点需要通过代理连接 Internet,您必须配置此代理。请参见如何在 IKEv2 中处理已撤销的证书。
# pfbash # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default Policy Name: default Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate Ignore Unknown EKUs: false Ignore Trust Anchor in Certificate Validation: false Trust Intermediate CAs as trust anchors: false Maximum Certificate Path Length: 32 Certificate Validity Period Adjusted Time leeway: [not set] Trust Anchor Certificate: Search by Issuer Key Usage Bits: 0Identifies critical parts of certificate Extended Key Usage Values: [not set]Purposes or applications for the certificate HTTP Proxy (Global Scope): [not set] Validation Policy Information: Maximum Certificate Revocation Responder Timeout: 10 Ignore Certificate Revocation Responder Timeout: true OCSP: Responder URI: [not set] OCSP specific proxy override: [not set] Use ResponderURI from Certificate: true Response lifetime: [not set] Ignore Response signature: false Responder Certificate: [not set] CRL: Base filename: [not set] Directory: /var/user/ikeuser/crls Download and cache CRL: true CRL specific proxy override: [not set] Ignore CRL signature: false Ignore CRL validity date: false IPsec policy bypass on outgoing connections: true Certificate to name mapper name: [not set] Certificate to name mapper pathname: [not set] Certificate to name mapper directory: [not set] Certificate to name mapper options: [not set]
例如,一个包含 CRL 或 OCSP 的证书可以使用验证策略指定 URI,以便用来查看证书撤销状态。您也可以配置超时。
有关策略样例,请参见如何在 IKEv2 中处理已撤销的证书。