証明書の失効確認について

公開キー基盤の管理中、クライアントの証明書を CA で無効にする必要があることがあります。たとえば、従業員が退社した場合または従業員のクレデンシャルが失われるか盗まれた場合に証明書を無効にすることがあります。証明書を無効にすると、CA は 1 つ以上の証明書失効リスト (CRL) を使って有効でなくなった証明書を公開します。
証明書の失効確認は、デフォルトでは無効です。有効にして設定する必要があります。証明書の失効確認の設定
Symantec Data Loss Prevention
は、証明書失効リスト配布ポイント(CRLDP)から失効リストを取得します。CRLDP を使って失効を確認するには、クライアント証明書に CRL 配布ポイントフィールドが含まれている必要があります。CRLDP フィールドの定義を次に示します。
[1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://
my_crldp
Symantec Data Loss Prevention
では LDAP URL を使った CRLDP の指定はサポートされていません。
CRL 配布ポイントが各証明書で定義され、Enforce Server でサーバーに直接アクセスできる場合、失効確認の実行に追加の設定は必要ありません。プロキシサーバーによってのみ CRL 配布ポイントにアクセスできる場合は、
Symantec Data Loss Prevention
設定でプロキシサーバーを設定する必要があります。
いずれの失効確認方法を使うかに関係なく、Enforce Server コンピュータで証明書の失効確認を有効にする必要があります。Enforce Server のインストール時に証明書のインストールを選択した場合、証明書の失効確認はデフォルトで有効になります。既存の
Symantec Data Loss Prevention
インストールをアップグレードした場合、証明書の失効確認はデフォルトでは有効になりません。