証明書失効リスト
認証局 (CA) は、証明書失効リスト (CRL) を発行します。CRL には、信頼できなくなった証明書に関する情報が含まれています。たとえば、アンがXYZ Corporationを離れたとします。会社は、Ann の証明書を CRL に配置して、彼女がそのキーでメッセージに署名するのを防ぐことができます。
同様に、秘密キーが侵害された場合、または証明書の有効期限が切れて新しい証明書が使用されている場合は、証明書を取り消すことができます。公開キーを信頼する前に、証明書が CRL に表示されていないことを確認してください。
NetScaler Gateway は、次の2つのCRLタイプをサポートしています。
- 失効した証明書または無効になった証明書を一覧表示する CRL
- Online Certificate Status Protocol (OSCP)、X.509 証明書の失効ステータスを取得するために使用されるインターネットプロトコル
CRL を追加するには
NetScaler Gateway アプライアンスでCRLを構成する前に、CRLファイルがアプライアンスにローカルに保存されていることを確認します。高可用性セットアップの場合、CRLファイルは両方のNetScaler Gateway アプライアンスに存在し、ファイルへのディレクトリパスは両方のアプライアンスで同じである必要があります。
CRL を更新する必要がある場合は、次のパラメータを使用できます。
- CRL名:NetScaler ADCに追加されるCRLの名前。最大 31 文字です。
- CRLファイル:NetScaler ADCに追加されるCRLファイルの名前。NetScaler ADCは、デフォルトで/var/netscaler/sslディレクトリでCRLファイルを検索します。最大 63 文字です。
- URL: 最大 127 文字
- ベース DN: 最大 127 文字
- バインド DN: 最大 127 文字
- パスワード:最大 31 文字
- 日数:最大31日
- 構成ユーティリティの「構成」タブで、「SSL」を展開し、「CRL」をクリックします。
- 詳細ペインで、[Add] をクリックします。
- [Add CRL] ダイアログボックスで、次の値を指定します。
- CRL名
- CRL ファイル
- フォーマット (オプション)
- CA 証明書 (オプション)
- [Create] をクリックしてから、[Close] をクリックします。CRL 詳細ペインで、先ほど設定した CRL を選択し、画面の下部に表示される設定が正しいことを確認します。
構成ユーティリティで LDAP または HTTP を使用して CRL 自動更新を構成するには
CRL は CA によって定期的に、または場合によっては特定の証明書が失効した直後に生成および公開されます。NetScaler Gateway アプライアンスのCRLを定期的に更新して、無効な証明書で接続しようとするクライアントから保護することをお勧めします。
NetScaler Gateway アプライアンスは、Webの場所またはLDAPディレクトリからCRLを更新できます。更新パラメータと Web ロケーションまたは LDAP サーバを指定する場合、コマンドの実行時に CRL がローカルハードディスクドライブに存在している必要はありません。最初の更新では、CRL File パラメーターで指定されたパスのローカルハードディスクドライブにコピーが格納されます。CRL を格納するためのデフォルトのパスは /var/netscaler/SSL です。
CRL 更新パラメータ
-
CRL名
NetScaler Gateway で更新されるCRLの名前。
-
CRL 自動更新を有効にする
CRL 自動更新を有効または無効にします。
-
CA 証明書
CRL を発行した CA の証明書。この CA 証明書は、アプライアンスにインストールする必要があります。NetScaler ADCは、証明書がインストールされているCAからのみCRLを更新できます。
-
方法
Web サーバ(HTTP)または LDAP サーバから CRL リフレッシュを取得するプロトコル。可能な値:HTTP、LDAP。デフォルト:HTTP。
-
スコープ
LDAP サーバーでの検索操作の範囲。指定したスコープが Base の場合、検索はベース DN と同じレベルになります。指定した範囲が One の場合、検索はベース DN の 1 レベル下まで拡張されます。
-
サーバーIP
CRL の取得元の LDAP サーバの IP アドレス。IPv6 IP アドレスを使用するには、[IPv6] を選択します。
-
ポート
LDAP または HTTP サーバが通信するポート番号。
-
URL
CRL の取得元の Web ロケーションの URL。
-
ベース DN
LDAP サーバーが CRL 属性を検索するために使用するベース DN。 注:LDAPサーバーでCRLを検索するには、CA証明書の発行者名の代わりにベースDN属性を使用することをお勧めします。Issuer-Name フィールドは、LDAP ディレクトリ構造の DN と正確に一致しない場合があります。
-
バインド DN
LDAP リポジトリ内の CRL オブジェクトへのアクセスに使用されるバインド DN 属性。バインド DN 属性は、LDAP サーバの管理者クレデンシャルです。LDAP サーバへの不正アクセスを制限するには、このパラメータを設定します。
-
パスワード
LDAP リポジトリ内の CRL オブジェクトへのアクセスに使用される管理者パスワード。これは、LDAP リポジトリへのアクセスが制限されている場合、つまり匿名アクセスが許可されていない場合に必要です。
-
間隔
CRL 更新を実行する間隔。CRL を瞬時に更新する場合は、間隔を NOW として指定します。可能な値:MONTHLY, DAILY, WEEKLY, NOW, NONE.
-
日数
CRL 更新を実行する必要がある日。間隔が DAILY に設定されている場合、このオプションは使用できません。
-
時間
CRL 更新を実行する必要がある正確な時間(24 時間形式)。
-
バイナリ
LDAP ベースの CRL 取得モードをバイナリに設定します。可能な値:はい、いいえ。デフォルト:いいえ。
- ナビゲーションウィンドウで、[SSL] を展開し、[CRL] をクリックします。
- 更新パラメータを更新する設定済みの CRL を選択し、[Open] をクリックします。
- [CRL 自動更新を有効にする] オプションを選択します。
- [CRL 自動リフレッシュパラメータ] グループで、次のパラメータの値を指定します。
注:アスタリスク (*) は、必須パラメータを示します。
- 方法
- バイナリ
- スコープ
- サーバーIP
- ポート*
- URL
- ベース DN*
- バインド DN
- パスワード
- 間隔
- 日数
- 時間
- [Create] をクリックします。CRL ペインで、先ほど設定した CRL を選択し、画面の下部に表示される設定が正しいことを確認します。