Gateway

OCSP による証明書ステータスの監視

Online Certificate Status Protocol (OCSP) は、クライアント SSL 証明書の状態を判断するために使用されるインターネットプロトコルです。NetScaler Gateway は RFC 2560 で定義されているように OCSP をサポートしています。OCSP には、タイムリーな情報の点で、証明書失効リスト (CRL) よりも大きな利点があります。クライアント証明書の最新の失効ステータスは、多額の資金や高額株式取引を含む取引で特に役立ちます。また、使用するシステムリソースとネットワークリソースも少なくなります。NetScaler Gateway のOCSPの実装には、要求のバッチ処理と応答のキャッシュが含まれます。

NetScaler Gatewayの OCSP の実装

NetScaler Gateway アプライアンスでのOCSP検証は、NetScaler GatewayがSSLハンドシェイク中にクライアント証明書を受信したときに開始されます。証明書を検証するために、NetScaler Gateway はOCSP要求を作成し、OCSPレスポンダーに転送します。そのために、NetScaler Gateway は、クライアント証明書からOCSPレスポンダーのURLを抽出するか、ローカルで構成されたURLを使用します。NetScaler Gateway がサーバーからの応答を評価し、トランザクションを許可するか拒否するかを決定するまで、トランザクションは一時停止状態になります。サーバーからの応答が構成された時間を超えて遅延し、他のレスポンダーが構成されていない場合、NetScaler Gateway は、OCSPチェックをオプションまたは必須に設定したかどうかに応じて、トランザクションを許可するかエラーを表示します。NetScaler Gateway は、OCSP要求のバッチ処理とOCSP応答のキャッシュをサポートして、OCSPレスポンダーの負荷を軽減し、応答を高速化します。

OCSP リクエストのバッチ処理

NetScaler Gateway は、クライアント証明書を受信するたびに、OCSPレスポンダーに要求を送信します。OCSPレスポンダーの過負荷を避けるために、NetScaler Gateway は同じ要求で複数のクライアント証明書の状態を照会できます。リクエストのバッチ処理を効率的に実行するには、バッチの形成を待っている間に単一の証明書の処理が遅れないようにタイムアウトを定義する必要があります。

OCSP レスポンスキャッシュ

OCSP レスポンダから受信した応答をキャッシュすると、ユーザへの応答が速くなり、OCSP レスポンダの負荷が軽減されます。OCSPレスポンダーからクライアント証明書の失効ステータスを受信すると、NetScaler Gateway は事前定義された時間応答をローカルにキャッシュします。SSLハンドシェイク中にクライアント証明書を受信すると、NetScaler Gateway はまずローカルキャッシュでこの証明書のエントリを確認します。まだ有効な(キャッシュタイムアウト制限内で)エントリが見つかると、そのエントリが評価され、クライアント証明書が受け入れられるか拒否されます。証明書が見つからない場合、NetScaler Gateway はOCSPレスポンダーに要求を送信し、構成された期間応答をローカルキャッシュに保存します。

OCSP による証明書ステータスの監視