証明書失効の更新オプション
このコンテンツでは、PAM を設定し、SSL 証明書が現在も有効か定期的に確認する方法について説明します。
3-4
認証局は、関連付けられたアイデンティティの問題を検出するか、証明書キーが侵害された場合に SSL 証明書を無効にします。CA はその情報を発行して、証明書ユーザが失効した証明書の使用を停止できるようします。
このコンテンツでは、PAM を設定し、以下のいずれかの方法を使用してそのセキュリティ証明書が現在も有効か定期的に確認する方法について説明します。
- 定期的に最新の証明書失効リスト(CRL)をダウンロードする: 一部の CA では、失効した証明書の最新のリストを定期的にダウンロードできるCRL 配布ポイントを提供しています。
- オンライン証明書ステータス プロトコル(OCSP)サーバ(または: OCSP は、CRL の動的な代替です。OCSP により、アプリケーションまたはブラウザは接続が確立されるたびに、認証局に証明書の失効ステータスを照会できます。レスポンダ)に照会する
証明書が無効な場合は、CA から新しい証明書をリクエストし、すべての PAM サーバに適用します。
2
証明書からの CRL 配布ポイントおよび OCSP サーバ情報の取得
必要に応じて、証明書のプロパティから CRL 配布ポイントまたは OSCP サーバの情報を取得するには、以下の手順に従います。
Windows 上の証明書からの情報の取得
以下の手順に従います。
- Windows エクスプローラで、証明書ファイルに移動して開きます。[資格情報]ダイアログ ボックスが表示されます。
- [詳細]タブを表示します。
- 利用可能なCRL 配布ポイントの詳細を確認するには、リストの上部で対応するエントリを選択して、下部パネルの URL をメモします。
/content/CRLupdateserver.png/_jcr_content/renditions/original)
- CA が OCSP サーバを提供しているか確認するには、以下の手順に従います。
- 上部のパネルで、[Authority Information Access]エントリを選択します。
- URL が下部パネルに表示されるかどうかに注意してください。URL をコピーする必要はありません。
UNIX 上の証明書からの情報の取得
UNIX システム上の証明書から情報を取得するには、以下のコマンドを入力します。
openssl x509 -incertificate_file.cer -text
最新の CRL を自動的にダウンロードする PAM の設定
CA により CRL 配布ポイントから定期的に最新の CRL をダウンロードするように示されている場合は、以下の手順に従います。
以下の手順に従います。
- [構成]-[セキュリティ]-[証明書]ページで、[CRL オプション]タブを選択します。
- [タイプ]で[CRL の使用]を選択します。
- [CRL のタイプ]で[CRL を自動的にダウンロード]を選択します。
- [URL]テキスト ボックスで、CRL サーバの 1 つまたは複数の URL 名を入力します(1 行につき 1 つ)。
- [時間]で、CRL サーバをチェックする頻度を選択します。
失効した証明書について OCSP サーバを照会する PAM の設定
CA により失効した証明書について OCSP サーバを照会するように示されている場合は、以下の手順に従います。
以下の手順に従います。
- [構成]-[セキュリティ]-[証明書]ページで、[CRL オプション]タブを選択します。
- [タイプ]で[OCSP の使用]を選択します。
- 他のすべてのオプションは無効です。使用されている場合、アプライアンスは特定の証明書に関連する OCSP サーバと自動的に通信します。
[失効情報を使用できない場合]
オプションは、CRL を自動または手動でダウンロードするか、OCSP を使用するかに関わらず使用できます。 [失効情報を使用できない場合]
を使用するには、ドロップダウン リストからオプションを選択して、証明書を持つユーザが PAM へのアクセス権を持つかどうかを決定します。デフォルトは、[ユーザ アクセスを許可]
です。このモードでは、その証明書に関連する失効情報を使用できないかアクセスできない場合でも、証明書を持つユーザは PAM へのアクセスが許可されます。他のモードは、[ユーザ アクセスを拒否]
です。このモードは、失効情報を利用できない、またはアクセスできない場合、PAM へのアクセスを拒否します。以下の表は、[ユーザ アクセスを許可]または[ユーザ アクセスを拒否]オプションを選択したときのさまざまな条件とそれに関連する動作を示しています。
状況 | ユーザ アクセスを拒否(セキュリティ セーフ モード) | ユーザ アクセスを許可(オペレーション セーフ モード) | コメント |
証明書が期限切れ | 該当なし | 該当なし | 認証に失敗します。 |
自己署名 V3 X509 証明書 | 該当なし | 該当なし | 自己署名証明書はサポートされなくなったため認証に失敗します。 |
CA が期限切れ | 該当なし | 該当なし | 認証に失敗します。 |
CA が取り消し | 該当なし | 該当なし | 認証に失敗します。 |
CRL は存在するが、リストが空 | 該当なし | 該当なし | 取り消すものがないため認証は成功します。 |
証明書の発行者の CRL が存在しない | 証明書の認証に失敗します。CRL が存在する必要があります(空の失効リストも可)。 | 証明書の認証に成功します。 | |
証明書の発行者の CRL が期限切れ | 証明書の認証がすぐに失敗します。証明書が失効リストにあるかどうかを判断する確認は行われません。 | 証明書の認証が続行し、証明書が失効リストにあるかどうかを判断する確認が行われます。リストで見つかった場合、証明書の認証は失敗し、それ以外の場合は成功します。 | |
自動 CRL ダウンロードが失敗 | ダウンロードに失敗した URL に関連付けられた CRL がクリーンアップされるため、ダウンロードに失敗した URL の証明書の認証は失敗します。(これは「証明書の発行者の CRL が存在しない」という条件と同等です。) | 証明書の認証は既存の CRL 情報に応じて成功または失敗します。自動ダウンロードが失敗した場合、CRL はクリーンアップされません。 | |
証明書で使用可能な OCSP URI 情報がない | 証明書の認証に失敗します。OCSP URI 情報は、証明書および証明書チェーン内のすべての証明書に存在する必要があります。 | 証明書の認証に成功します。 | |
OCSP URI に接続できない | 証明書の認証に失敗します。 | 証明書の認証に成功します。 |
CRL 情報の表示
[構成]
- [セキュリティ]
- [証明書]
ページで[証明書失効リスト]
タブを選択します。 このオプションは、CRL でスマートカード認証の使用が有効な場合にのみ表示されます。
CRL が入力されると、
[証明書失効リスト]
タブに、各証明書について以下のフィールドが表示されます。- 発行者
- 次回の更新(または期限切れになったときの注意)
- ステータスS = 安定、P = 処理中、D = ダウンロード中、I = 初期、F = 失敗
- ファイル名(該当する場合)
- 配布ポイント(オプション)
- 失敗の理由CRL 障害でエラー メッセージが生成される場合には、ここに表示されます。例:無効な CRL ファイルがあります:filename
詳細については、以下のトピックを参照してください
: