OCSP と CRL 間のフェイルオーバー

ポリシー サーバでは証明書の検証方法として OCSP と CRL を使用できます。両方の方法を設定した場合、両者の間でフェイルオーバーするようポリシー サーバを設定することが可能です。フェイルオーバーを有効にすると、いずれかの証明書検証方法が使用できない場合に認証が失敗するのを回避することができます。
casso126jjp
ポリシー サーバでは証明書の検証方法として OCSP と CRL を使用できます。両方の方法を設定した場合、両者の間でフェイルオーバーするようポリシー サーバを設定することが可能です。フェイルオーバーを有効にすると、いずれかの証明書検証方法が使用できない場合に認証が失敗するのを回避することができます。
証明書チェックのフェイルオーバーを実装するには、OCSP 設定ファイル(SMocsp.conf)内にプライマリ検証方法を指定します。プライマリ検証方法が利用できない場合、ポリシー サーバは、リクエストを完了するために 2 番目の検証を使用します。次のリクエストについては、プライマリ検証方法を再び使用し、失敗が発生しない限りその方法を使用します。
プライマリ検証方法としての OCSP
プライマリ検証方法が OCSP で、OCSP レスポンダが利用できない場合、ポリシー サーバは、CRL を使用して証明書の検証を実行します。
OCSP レスポンダが「
good
」または「
revoked
」のレスポンス インジケータを返している限り、OCSP 機能を無視してフェイルオーバーされることはありません。レスポンス インジケータが「unkonwn」である場合は、CRL チェックへのフェイルオーバーが発生します。
プライマリ検証方法として OCSP を設定した場合、ポリシー サーバは以下のように動作します。
OCSP 証明書の検証結果
フェイルオーバー無効
フェイルオーバー有効
Valid
ユーザは認証されます
OCSP の結果のみに基づいてユーザが認証されます。CRL チェックは必要ありません。
取り消し
ユーザは認証されません
ユーザは認証されません。CRL チェックは必要ありません。
不明またはレスポンスなし
ユーザは認証されません
CRL チェックが実行されます
プライマリ検証方法としての CRL チェック
プライマリ検証方法が CRL チェックで、ポリシー サーバが CRL を取得できない場合、OCSP レスポンダにフェイルオーバーします。この場合、ポリシー サーバでは CRL ディレクトリ サーバへの接続が利用可能でない場合のみ OCSP を使用します。CRL が有効なレスポンスを返す場合、OCSP は使用されません。
注:
フェイルオーバーが有効になっていない場合、CRL チェックと OCSP の両方が設定されていれば、ポリシー サーバでは証明書の検証に CRL チェックのみを使用します。
プライマリ検証方法として CRL を設定した場合、ポリシー サーバは以下のように動作します。
CRL 証明書の検証結果
フェイルオーバー無効
フェイルオーバー有効
Valid
ユーザは認証されます
最初の有効な CRL に基づいてチェックされます。それ以上の CRL チェックは必要ありません。
取り消し
ユーザは認証されません
それ以上の CRL または OCSP チェックは必要ありません。
レスポンスなし/取得失敗
CDP 拡張が利用可能な場合、ポリシー サーバでは CRL の取得に成功するまで順序どおりに各配布ポイントを試します。証明書のステータスが有効または取り消しである場合、それらの状態の説明を参照します。
すべての理由コードを含む CRL が取得されない場合、ポリシー サーバはデフォルトで「Not Authenticated」になります。
CDP 拡張が利用可能な場合、ポリシー サーバでは CRL の取得に成功するまで順序どおりに各配布ポイントを試します。証明書のステータスが有効または取り消しである場合、それらの状態の説明を参照します。
すべての理由コードを含む CRL が取得されない場合、OCSP を使用します。
OCSP と CRL 間のフェイルオーバーの設定
ポリシー サーバでは OCSP と CRL を証明書の検証方法として使用し、両者の間でフェイルオーバーを有効にすることができます。フェイルオーバーを有効にする前に、管理 UI で CRL チェックを設定し、SMocsp.conf ファイルを作成することによって OCSP を設定します。フェイルオーバーが機能するためには、CRL チェックと OCSP チェックが有効である必要があります。
以下の手順に従います。
  1. テキスト エディタで SMocsp.conf ファイルを開きます。このファイルは、
    policy_server_home
    /config ディレクトリにあります。
  2. 各レスポンダレコードについて以下のエントリを追加または変更します。
    • EnableFailover
      Single Sign-On
      でプライマリ検証方法からセカンダリ検証方法にフェイルオーバーできるようにします。
      この値を Yes に設定すると、フェイルオーバーが有効になります。
      フェイルオーバーを無効にするには、デフォルトの No のままにします。フェイルオーバーを設定せず、OCSP レスポンダが検証を実行できない場合、トランザクションは失敗します。
      有効値:
      Yes または No
      デフォルト
      : No
    • PrimaryValidationMethod
      別の方法を試行する前に、どちらの証明書検証方法がまず使用されるかが示されます。
      EnableFailover が YES に設定され、この設定の値が OCSP である場合、ポリシー サーバではまず OCSP 検証を使用します。OCSP レスポンダからのレスポンスがないか、レスポンス インジケータが「unknown」である場合は、CRL にフェイルオーバーします。
      この設定の値が CRL である場合、OCSP 検証が設定されている場合でも無視され、CRL が使用されます。ポリシー サーバで CRL を取得できないか、CRL が失効している場合、OCSP にフェイルオーバーします。
      有効値:
      OCSP、CRL
      デフォルト:
      OCSP
  3. SMocsp.conf ファイルの変更を保存します。
  4. ポリシー サーバを再起動します。