OCSP 設定
[OCSP 設定]ページには、証明書データ ストア(CDS)の OCSP レスポンダ設定が表示されます。このページから OCSP 設定を追加できます。
casso11jp
HID_ocsp-list-and-config
[OCSP 設定]ページには、証明書データ ストア(CDS)の OCSP レスポンダ設定が表示されます。このページから OCSP 設定を追加できます。
2
OCSP 設定リスト
このダイアログ ボックスには、以下の情報が含まれています。
OCSP 設定のフィルタ
OCSP 設定リストに表示される内容は絞り込むことができます。一連のオプションをフィルタにかけて検索を定義できます。
以下の対象に基づいてフィルタリングできます。
- エイリアス
- レスポンダ
- レスポンダ エイリアス
- 署名エイリアス
検索フィルタを指定する方法
- [OCSP 設定]ダイアログ ボックスで開始します。
- 以下のガイドラインを使用して、[OCSP 設定のフィルタ]セクションに検索を設定します。
- [検索対象]フィールドで検索内容を選択します。
- 中央のフィールドでプルダウン メニューから演算子を選択します。
- 3 番目のフィールドに、文字列を引用符で囲まずに入力します。この文字列は検索フィルタの値です。重要:すべてのリストを取得する場合は、3 番目のフィールドを空欄のままにしてください。また、<ANY> やアスタリスク(*)を入力することもできます。アスタリスクを埋め込みワイルドカード文字として使用することはできません。たとえば、アスタリスクは単独で入力できますが、partner*のような値として入力することはできません。
- [実行]をクリックして検索を開始します。
OCSP 設定リスト
リストには、CDS で使用可能なすべての OCSP レスポンダが表示されます。以下の列に特に注意します。
- エイリアスリスト エントリと関連付けられるエイリアスを表示します。
- レスポンダOCSP レスポンダの名前をリスト表示します。
リスト エントリの表示/変更/削除
リストから選択し、[アクション]メニューからオプションを選択することにより、エントリを表示、変更、または削除します。
OCSP レスポンダ設定
[OCSP 設定の追加]ダイアログ ボックスでは、OCSP レスポンダ エントリを CDS に追加できます。
このダイアログ ボックスには、以下の設定項目があります。
- 発行者エイリアスOCSP サービスを提供する認証機関の証明書のエイリアス。
- HTTP プロキシの有効化(オプション)Web サーバではなくプロキシ サーバに OCSP リクエストを送信するようにポリシー サーバに指示します。このオプションを選択した場合、以下のフィールドが表示されます。
- HTTP プロキシ ロケーション- プロキシ サーバの URL を指定します。この値は、HttpProxyEnabled が YES に設定されている場合のみ必須です。http:// で始まる URL を入力します。注:https://で始まる URL は入力しないでください。
- HTTP プロキシ ユーザ名- プロキシ サーバのログイン認証情報。このユーザ名はプロキシ サーバの有効なユーザの名前である必要があります。英数字の文字列を入力します。
- HTTP プロキシ パスワード- プロキシ サーバのユーザ名に対するパスワード。このパスワードはプロキシ ユーザ設定の有効なエントリである必要があります。英数字の文字列を入力します。
- 猶予期間(オプション)失効した後の証明書の無効化を遅らせるための期間(日数)を指定します。OCSP 猶予期間によって、設定が突然機能しなくならないように証明書を更新する時間が与えられます。このフィールドを 0 に設定した場合、取り消した証明書はすぐに無効になります。この値を指定しない場合、CDS 設定のデフォルトの取り消し猶予期間が使用されます。
- セカンダリ発行者 DN(オプション)セカンダリ発行者 DN、または CA 証明書発行者用の逆の DN を指定します。
- NONCE 拡張を無視(オプション)このチェック ボックスをオンにすると、OCSP リクエストの NONCE を含めないようにシステムに指示します。NONCE (1 回のみ使用される番号)は、一意の番号です。この番号は、レスポンスの再利用を防ぐため認証リクエスト内に含まれることがあります。
- AIA 拡張の使用(オプション)システムが検証情報を見つけるために証明書の Authority Information Access (AIA)拡張を使用するかどうかを指定します。AIA 設定または ResponderLocation 設定を使用できますが、以下の点に注意してください。
- [AIA 拡張を使用]設定が選択され、[レスポンダ ロケーション]が設定されていない場合、システムは検証に証明書の AIA 拡張を使用します。この拡張は、証明書内に存在する必要があります。
- [AIA 拡張を使用]設定が選択され、[レスポンダ ロケーション]設定に値がある場合、システムは検証に[レスポンダ ロケーション]を使用します。[レスポンダ ロケーション]設定は AIA 拡張より優先されます。
- [AIA 拡張を使用]設定が選択されていない場合、システムは[レスポンダ ロケーション]設定を使用します。AIA 拡張が存在する場合は無視されます。
- レスポンダ ロケーション(オプション) OCSP レスポンダ サーバの場所を示します。[レスポンダ ロケーション]設定または[AIA 拡張設定を使用]設定を使用できますが、以下の点に注意してください。
- [レスポンダ ロケーション]設定を空白のままにする場合は、[AIA 拡張を使用]設定を選択します。また、AIA 拡張が証明書に含まれている必要があります。
- [レスポンダ ロケーション]設定に値があり、[AIA 拡張を使用]が選択されている場合、システムは検証に[レスポンダ ロケーション]を使用します。[レスポンダ ロケーション]設定は AIA 拡張より優先されます。
- この設定に指定された OCSP レスポンダがダウンしており、[AIA 拡張を使用]設定が選択されている場合、認証は失敗します。この証明書の AIA 拡張で指定されたレスポンダの使用は試行されません。
レスポンダ サーバの URL およびポート番号を入力します。 - レスポンダ証明書エイリアス(フェデレーションに対してのみ必須) OCSP レスポンスの署名を検証する証明書のエイリアスを指定します。システムによってレスポンスの署名の検証を実行するには、この設定のエイリアスを指定してください。指定しない場合、CA 発行者には利用できる OCSP 設定がありません。注:システムは、X.509 証明書の認証に対してこの設定を使用しません。エイリアスを指定する文字列を入力します。
- 署名済みリクエストの有効化生成された OCSP リクエストに署名するようシステムに指示します。署名機能を使用するには、このチェック ボックスをオンにします。この値は、ユーザ証明書の署名とは関係がなく、OCSP リクエストにのみ関係があります。この設定は、OCSP レスポンダで署名されたリクエストが必要とされる場合のみ必須です。このオプションを選択した場合、以下のフィールドが表示されます。
- 署名エイリアス- OCSP レスポンダに送信される OCSP リクエストに署名するキー/証明書ペアのエイリアスを指定します。このキー/証明書ペアは、CDS にある必要があります。小文字の ASCII 英数文字を使用してエイリアスを入力します。
- 署名ダイジェスト任意です。OCSP リクエストを署名するときにポリシー サーバが使用するアルゴリズムを指定します。この設定では大文字と小文字は区別されません。次のいずれかのオプションを入力します: SHA1、SHA224、SHA256、SHA384、SHA512デフォルト:SHA1
- 証明書有効フェールオーバの有効化(オプション)OCSP と CRL の証明書検証方法間でフェールオーバするように、システムに指示します。このオプションを選択すると、以下のフィールドが表示されます。
- プライマリ検証メソッド- ポリシー サーバで証明書の検証に使用するプライマリ検証方法が OCSP または CRL であるかを示します。OCSP または CRL を選択します。デフォルト:OCSP