IKEv1 で失効した証明書を処理する方法

失効した証明書とは、なんらかの理由で効力を失った証明書です。失効した証明書を使用していると、セキュリティーのリスクとなります。証明書の失効を確認する際のオプションがあります。静的なリストを使用するか、HTTP プロトコルを介して失効を動的に確認できます。失効した証明書を処理する 4 つの方法があります。

• 証明書に CRL または OCSP の Uniform Resource Indicator (URI) が組み込まれている場合に、CRL または OCSP を無視するように IKEv1 に指示できます。このオプションはStep 5 に示されています。

• CA からの公開鍵証明書に URI のアドレスが組み込まれている場合に、その URI から CRL または OCSP にアクセスするように IKEv1 に指示できます。

• CA からの公開鍵証明書に LDAP サーバーの DN (ディレクトリ名) エントリが組み込まれている場合に、その LDAP サーバーから CRL にアクセスするように IKEv1 に指示できます。

• ikecert certrldb コマンドの引数として CRL を指定できます。例については、使用例 42を参照してください。

始める前に

Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

1. CA から受け取った証明書を表示します。

   ikecert certdb コマンドの引数については、ikecert(1M) のマニュアルページを参照してください。

   たとえば、次の証明書は企業の PKI から発行されました。詳細は変更されています。

   # ikecert certdb -lv cert-protect.example.com
   Certificate Slot Name: 0   Type: dsa-sha256
      (Private key in certlocal slot )
    Subject Name: <O=Example, CN=cert-protect.example.com>
    Issuer Name: <CN=ExampleCo CO (Cl B), O=Example>
    SerialNumber: 14000D93
      Validity:
         Not Valid Before: 2013 Sep 19th, 21:11:11 GMT
         Not Valid After:  2017 Sep 18th, 21:11:11 GMT
      Public Key Info:
         Public Modulus  (n) (2048 bits): C575A...A5
         Public Exponent (e) (  24 bits): 010001
      Extensions:
         Subject Alternative Names:
                 DNS = cert-protect.example.com
         Key Usage: DigitalSignature KeyEncipherment
         [CRITICAL]
      CRL Distribution Points:
         Full Name:
            URI = #Ihttp://www.example.com/pki/pkismica.crl#i
            DN = <CN=ExampleCo CO (Cl B), O=Example>
         CRL Issuer: 
         Authority Key ID:
         Key ID:              4F ... 6B
         SubjectKeyID:        A5 ... FD
         Certificate Policies
         Authority Information Access

   CRL Distribution Points エントリに注目してください。

   • URI エントリは、この機関の CRL が Web 上にあることを示しています。

   • DN エントリは、CRL が LDAP サーバー上にあることを示しています。一度、IKE がアクセスすると、CRL は将来に備えてキャッシュに格納されます。

   CRL にアクセスするには、配布ポイントまで到達する必要があります。

2. 中央の配布ポイントから CRL にアクセスするには、次のメソッドのうちの 1 つを選択します。
   • URI を使用します。

     キーワード use_http をホストの /etc/inet/ike/config ファイルに追加します。たとえば、ike/config ファイルは次のようになります。

     # Use CRL or OCSP from organization's URI
     use_http
     ...

   • Web プロキシを使用します。

     キーワード proxy を ike/config ファイルに追加します。キーワード proxy は、次のように引数として URL を取ります。

     # Use web proxy to reach CRLs or OCSP
     proxy "http://proxy1:8080"

   • LDAP サーバーを使用します。

     ホストの /etc/inet/ike/config ファイルの ldap-list キーワードに引数として LDAP サーバーの名前を指定します。LDAP サーバーの名前は、使用する機関にたずねてください。ike/config ファイルのエントリは次のようになります。

     # Use CRL from organization's LDAP
     ldap-list "ldap1.example.com:389,ldap2.example.com"
     ...

   IKE は CRL を取り出し、証明書の期限が切れるまで CRL を保持します。

使用例 42  CRL を IKEv1 のローカルの certrldb データベースに貼り付ける

CA の CRL を中央配布ポイントから使用できない場合は、ローカルの certrldb データベースに CRL を手動で追加できます。CA の指示に従って CRL をファイルに抽出し、その CRL を ikecert certrldb -a コマンドでデータベースに追加します。

# ikecert certrldb -a < ExampleCo.Cert.CRL