証明書の失効確認の設定

証明書失効確認を有効にすると、
Symantec Data Loss Prevention
は CRLDP を使用して失効ステータスを判断します。
証明書の失効確認を有効にするには、次の手順に従います。
  1. 証明書の失効確認を設定するには
  2. CRLDP が各クライアント証明書の CRL 配布ポイントフィールドに定義されていることを確認します。
  3. Symantec Data Loss Prevention
    のインストール時に作成したユーザーアカウントを使って Enforce Server コンピュータにログオンします。
    別の root または管理者アカウントから、設定ファイルの許可や所有権を変更しないでください。
  4. c:\Program Files\Symantec\DataLossPrevention\EnforceServer\15.8\Protect\tomcat\conf\server.xml
    (Windows)または
    /opt/Symantec/DataLossPrevention/EnforceServer/15.8/Protect/tomcat/conf/server.xml
    (Linux)のディレクトリに移動し、
    revocationEnabled
    の値を
    false
    から
    true
    に更新します。
  5. CRLDP を使って失効確認を有効にするには、このファイルで次の行を追加またはコメント解除します。
    wrapper.java.additional.22=-Dcom.sun.security.enableCRLDP=true
    このオプションは新しい
    Symantec Data Loss Prevention
    インストールではデフォルトで有効になります。
  6. CRLDP の失効確認を使う場合は、必要に応じてプロパティを使ってキャッシュの有効期間を設定します。
    wrapper.java.additional.22=-Dsun.security.certpath.ldap.cache.lifetime=30
    このパラメータは、CRL 配布ポイントから取得された失効リストをキャッシュに保存する時間 (秒単位) を指定します。この時間に達した後は、次回の認証要求時にルックアップが実行されキャッシュが更新されます。デフォルトのキャッシュの有効期間は 30 秒です。キャッシュを無効にするには 0、キャッシュの結果を無期限に格納するには -1 を指定します。
  7. Symantec DLP Manager サービスを停止してから再起動し、変更を適用します。