失効した証明書とは、なんらかの理由で効力を失った証明書です。失効した証明書を使用していると、セキュリティーのリスクとなります。証明書の失効を確認する際のオプションがあります。静的なリストを使用するか、HTTP プロトコルを介して失効を動的に確認できます。失効した証明書を処理する 4 つの方法があります。
証明書に CRL または OCSP の Uniform Resource Indicator (URI) が組み込まれている場合に、CRL または OCSP を無視するように IKEv1 に指示できます。このオプションはStep 5 に示されています。
CA からの公開鍵証明書に URI のアドレスが組み込まれている場合に、その URI から CRL または OCSP にアクセスするように IKEv1 に指示できます。
CA からの公開鍵証明書に LDAP サーバーの DN (ディレクトリ名) エントリが組み込まれている場合に、その LDAP サーバーから CRL にアクセスするように IKEv1 に指示できます。
ikecert certrldb コマンドの引数として CRL を指定できます。例については、使用例 42を参照してください。
始める前に
Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
ikecert certdb コマンドの引数については、ikecert(1M) のマニュアルページを参照してください。
たとえば、次の証明書は企業の PKI から発行されました。詳細は変更されています。
# ikecert certdb -lv cert-protect.example.com Certificate Slot Name: 0 Type: dsa-sha256 (Private key in certlocal slot ) Subject Name: <O=Example, CN=cert-protect.example.com> Issuer Name: <CN=ExampleCo CO (Cl B), O=Example> SerialNumber: 14000D93 Validity: Not Valid Before: 2013 Sep 19th, 21:11:11 GMT Not Valid After: 2017 Sep 18th, 21:11:11 GMT Public Key Info: Public Modulus (n) (2048 bits): C575A...A5 Public Exponent (e) ( 24 bits): 010001 Extensions: Subject Alternative Names: DNS = cert-protect.example.com Key Usage: DigitalSignature KeyEncipherment [CRITICAL] CRL Distribution Points: Full Name: URI = #Ihttp://www.example.com/pki/pkismica.crl#i DN = <CN=ExampleCo CO (Cl B), O=Example> CRL Issuer: Authority Key ID: Key ID: 4F ... 6B SubjectKeyID: A5 ... FD Certificate Policies Authority Information Access
CRL Distribution Points エントリに注目してください。
URI エントリは、この機関の CRL が Web 上にあることを示しています。
DN エントリは、CRL が LDAP サーバー上にあることを示しています。一度、IKE がアクセスすると、CRL は将来に備えてキャッシュに格納されます。
CRL にアクセスするには、配布ポイントまで到達する必要があります。
キーワード use_http をホストの /etc/inet/ike/config ファイルに追加します。たとえば、ike/config ファイルは次のようになります。
# Use CRL or OCSP from organization's URI use_http ...
キーワード proxy を ike/config ファイルに追加します。キーワード proxy は、次のように引数として URL を取ります。
# Use web proxy to reach CRLs or OCSP proxy "http://proxy1:8080"
ホストの /etc/inet/ike/config ファイルの ldap-list キーワードに引数として LDAP サーバーの名前を指定します。LDAP サーバーの名前は、使用する機関にたずねてください。ike/config ファイルのエントリは次のようになります。
# Use CRL from organization's LDAP ldap-list "ldap1.example.com:389,ldap2.example.com" ...
IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。
CA の CRL を中央配布ポイントから使用できない場合は、ローカルの certrldb データベースに CRL を手動で追加できます。CA の指示に従って CRL をファイルに抽出し、その CRL を ikecert certrldb -a コマンドでデータベースに追加します。
# ikecert certrldb -a < ExampleCo.Cert.CRL