在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何在 IKEv2 中设置证书验证策略

您可以针对证书在 IKEv2 系统中的处理方式执行多方面的配置。

开始之前

您必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员。您必须在配置文件 shell 中键入信息。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

如果执行远程管理,请参见Example 7–1在 Oracle Solaris 11.2 中管理安全 Shell 访问 中的如何使用安全 Shell 远程管理 ZFS,了解进行安全远程登录的说明。

  1. 查看缺省证书验证策略。

    证书策略是在安装时在 /etc/inet/ike/kmf-policy.xml 文件中设置的。此文件归 ikeuser 所有,可以使用 kmfcfg 命令进行修改。缺省证书验证策略是将 CRL 下载到 /var/user/ikeuser/crls 目录。缺省情况下允许使用 OCSP。如果站点需要通过代理连接 Internet,您必须配置此代理。请参见如何在 IKEv2 中处理已撤销的证书

    # pfbash
    # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
    Policy Name: default
    Ignore Certificate Validity Dates: falseUnknown purposes or applications for the certificate
    Ignore Unknown EKUs: false
    Ignore Trust Anchor in Certificate Validation: false
    Trust Intermediate CAs as trust anchors: false
    Maximum Certificate Path Length: 32
    Certificate Validity Period Adjusted Time leeway: [not set]
    Trust Anchor Certificate: Search by Issuer
    Key Usage Bits: 0Identifies critical parts of certificate
    Extended Key Usage Values: [not set]Purposes or applications for the certificate
    HTTP Proxy (Global Scope): [not set]
    Validation Policy Information:
        Maximum Certificate Revocation Responder Timeout: 10
        Ignore Certificate Revocation Responder Timeout: true
        OCSP:
            Responder URI: [not set]
            OCSP specific proxy override: [not set]
            Use ResponderURI from Certificate: true
            Response lifetime: [not set]
            Ignore Response signature: false
            Responder Certificate: [not set]
        CRL:
            Base filename: [not set]
            Directory: /var/user/ikeuser/crls
            Download and cache CRL: true
            CRL specific proxy override: [not set]
            Ignore CRL signature: false
            Ignore CRL validity date: false
    IPsec policy bypass on outgoing connections: true
    Certificate to name mapper name: [not set]
    Certificate to name mapper pathname: [not set]
    Certificate to name mapper directory: [not set]
    Certificate to name mapper options: [not set]
  2. 查看证书,确认有无表明相关验证选项要加以修改的功能。

    例如,一个包含 CRL 或 OCSP 的证书可以使用验证策略指定 URI,以便用来查看证书撤销状态。您也可以配置超时。

  3. 查看 kmfcfg(1) 手册页,了解可配置的选项。
  4. 配置证书验证策略。

    有关策略样例,请参见如何在 IKEv2 中处理已撤销的证书