証明書の失効確認の設定
証明書失効確認を有効にすると、
Symantec Data Loss Prevention
は CRLDP を使用して失効ステータスを判断します。証明書の失効確認を有効にするには、次の手順に従います。
- 証明書の失効確認を設定するには
- CRLDP が各クライアント証明書の CRL 配布ポイントフィールドに定義されていることを確認します。
- Symantec Data Loss Preventionのインストール時に作成したユーザーアカウントを使って Enforce Server コンピュータにログオンします。別の root または管理者アカウントから、設定ファイルの許可や所有権を変更しないでください。
- c:\Program Files\Symantec\DataLossPrevention\EnforceServer\15.8\Protect\tomcat\conf\server.xml(Windows)または/opt/Symantec/DataLossPrevention/EnforceServer/15.8/Protect/tomcat/conf/server.xml(Linux)のディレクトリに移動し、revocationEnabledの値をfalseからtrueに更新します。
- CRLDP を使って失効確認を有効にするには、このファイルで次の行を追加またはコメント解除します。wrapper.java.additional.22=-Dcom.sun.security.enableCRLDP=trueこのオプションは新しいSymantec Data Loss Preventionインストールではデフォルトで有効になります。
- CRLDP の失効確認を使う場合は、必要に応じてプロパティを使ってキャッシュの有効期間を設定します。wrapper.java.additional.22=-Dsun.security.certpath.ldap.cache.lifetime=30このパラメータは、CRL 配布ポイントから取得された失効リストをキャッシュに保存する時間 (秒単位) を指定します。この時間に達した後は、次回の認証要求時にルックアップが実行されキャッシュが更新されます。デフォルトのキャッシュの有効期間は 30 秒です。キャッシュを無効にするには 0、キャッシュの結果を無期限に格納するには -1 を指定します。
- Symantec DLP Manager サービスを停止してから再起動し、変更を適用します。