已撤销证书是指因为某个原因而泄密的证书。使用已撤销证书会带来安全风险。验证证书是否已经撤销时,您可以使用多种方式。您可以使用静态列表,或者通过 HTTP 协议动态验证证书是否已经撤销。您可以通过四种方式处理已撤销证书。
您可以指示 IKEv1 忽略在证书中嵌入了其统一资源指示符 (uniform resource indicator, URI) 的 CRL 或 OCSP。Step 5 展示了此选项。
您可以指示 IKEv1 从 LDAP 服务器访问 CRL,该服务器的 DN(directory name,目录名称)项嵌入在来自 CA 的公钥证书中。
您可以提供 CRL 作为 ikecert certrldb 命令的参数。有关示例,请参见Example 10–3。
开始之前
您必须成为分配有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
有关 ikecert certdb 命令的参数的信息,请参见 ikecert(1M) 手册页。
# ikecert certdb -lv cert-protect.example.com Certificate Slot Name: 0 Type: dsa-sha256 (Private key in certlocal slot ) Subject Name: <O=Example, CN=cert-protect.example.com> Issuer Name: <CN=ExampleCo CO (Cl B), O=Example> SerialNumber: 14000D93 Validity: Not Valid Before: 2013 Sep 19th, 21:11:11 GMT Not Valid After: 2017 Sep 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A…A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = cert-protect.example.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.example.com/pki/pkismica.crl#i DN = <CN=ExampleCo CO (Cl B), O=Example> CRL Issuer: Authority Key ID: Key ID: 4F … 6B SubjectKeyID: A5 … FD Certificate Policies Authority Information Access
请注意 CRL Distribution Points 项。
URI 项指示此组织的 CRL 在 Web 上是可用的。
DN 项指示 CRL 在 LDAP 服务器上是可用的。在 IKE 访问 CRL 后,将高速缓存该 CRL 以供将来使用。
要访问 CRL,您需要到达分发点。
将关键字 use_http 添加到主机的 /etc/inet/ike/config 文件。例如,ike/config 文件的显示与以下内容类似:
# Use CRL or OCSP from organization's URI use_http …
将关键字 proxy 添加到 ike/config 文件。proxy 关键字将 URL 用作参数,如下所示:
# Use web proxy to reach CRLs or OCSP proxy "http://proxy1:8080"
在主机的 /etc/inet/ike/config 文件中,将 LDAP 服务器指定为 ldap-list 关键字的参数。您的组织提供 LDAP 服务器的名称。ike/config 文件中项的显示与以下内容类似:
# Use CRL from organization's LDAP ldap-list "ldap1.example.com:389,ldap2.example.com" …
在证书到期之前,IKE 检索并高速缓存 CRL。
如果无法从中心分发点获取 CA 的 CRL,则可以将该 CRL 手动添加到本地 certrldb 数据库。按照 CA 的说明将 CRL 提取到文件中,然后使用 ikecert certrldb -a 命令将此 CRL 添加到数据库。
# ikecert certrldb -a < ExampleCo.Cert.CRL