証明書失効リスト
認証局 (CA) は時折、証明書失効リスト (CRL) を発行します。CRL には、信頼できなくなった証明書に関する情報が含まれています。たとえば、アンがXYZ社を離れるとします。同社は、アンの証明書を CRL に配置して、そのキーでメッセージに署名できないようにすることができます。
同様に、秘密キーが侵害された場合、または証明書の有効期限が切れて新しい証明書が使用されている場合に、証明書を取り消すことができます。公開キーを信頼する前に、証明書が CRL に表示されていないことを確認してください。
Citrix Gateway では、次の2つのCRLタイプがサポートされています。
- 失効した、または有効でなくなった証明書を一覧表示する CRL
- オンライン証明書ステータス・プロトコル(OSCP)。X.509 証明書の失効ステータスを取得するために使用されるインターネット・プロトコル
CRL を追加するには
Citrix Gateway アプライアンスでCRLを構成する前に、CRLファイルがアプライアンス上にローカルに保存されていることを確認してください。高可用性セットアップの場合、CRLファイルは両方のCitrix Gateway アプライアンスに存在し、ファイルへのディレクトリパスは両方のアプライアンスで同じである必要があります。
CRL を更新する必要がある場合は、次のパラメータを使用できます。
- CRL名:Citrix ADCに追加されるCRLの名前。最大 31 文字です。
- CRLファイル:Citrix ADCに追加されるCRLファイルの名前です。デフォルトでは、/var/netscaler/sslディレクトリ内のCRLファイルが検索されます。最大 63 文字です。
- URL: 最大 127 文字
- ベース DN: 最大 127 文字
- バインド DN: 最大 127 文字
- パスワード:最大 31 文字
- 日:最大 31 日
- 構成ユーティリティの [構成] タブで、[SSL] を展開し、[CRL] をクリックします。
- 詳細ウィンドウで、[追加] をクリックします。
- [Add CRL] ダイアログボックスで、次の値を指定します。
- CRL 名
- CRL ファイル
- フォーマット (オプション)
- CA 証明書(オプション)
- [Create] をクリックしてから、[Close] をクリックします。CRL 詳細ペインで、構成した CRL を選択し、画面の下部に表示される設定が正しいことを確認します。
構成ユーティリティで LDAP または HTTP を使用して CRL 自動リフレッシュを構成するには
CRL は、CA によって定期的に、または場合によっては特定の証明書が失効した直後に生成および発行されます。Citrix GatewayアプライアンスでCRLを定期的に更新して、無効な証明書で接続しようとするクライアントから保護することをお勧めします。
Citrix Gateway アプライアンスは、WebロケーションまたはLDAPディレクトリからCRLを更新できます。更新パラメータと Web の場所または LDAP サーバーを指定する場合、コマンドの実行時にローカルハードディスクドライブに CRL が存在する必要はありません。最初の更新では、CRL File パラメーターで指定されたパスに、ローカルハードディスクドライブにコピーが格納されます。CRL を保存するためのデフォルトのパスは /var/netscaler/sl です。
CRL リフレッシュパラメータ
- CRL 名
Citrix Gateway で更新されるCRLの名前。
**CRL自動更新の有効化**
CRL 自動更新を有効または無効にします。
**CA証明書**
CRL を発行した CA の証明書。この CA 証明書は、アプライアンスにインストールする必要があります。Citrix ADCは、証明書がインストールされているCAからのみCRLを更新できます。
**方法**
Web サーバ(HTTP)または LDAP サーバから CRL リフレッシュを取得するプロトコル。指定可能な値:HTTP、LDAP。デフォルトは HTTP です。
**スコープ**
LDAP サーバーでの検索操作の範囲。指定したスコープが Base の場合、検索はベース DN と同じレベルになります。指定されたスコープが「 One」の場合、検索はベース DN の 1 レベル下まで拡張されます。
- サーバーIP
CRL の取得元となる LDAP サーバの IP アドレス。IPv6 IP アドレスを使用するには、[IPv6] を選択します。
**ポート**
LDAP または HTTP サーバーが通信するポート番号。
**URL**
CRL の取得元となる Web ロケーションの URL。
**ベース DN**
LDAP サーバが CRL 属性を検索するために使用するベース DN。 注:LDAPサーバーでCRLを検索するには、CA証明書の発行元名ではなくベースDN属性を使用することをお勧めします。Issuer-Name フィールドが LDAP ディレクトリ構造の DN と正確に一致しない場合があります。
- バインド DN
LDAP リポジトリ内の CRL オブジェクトにアクセスするために使用されるバインド DN 属性。バインド DN アトリビュートは、LDAP サーバの管理者クレデンシャルです。LDAP サーバへの不正アクセスを制限するには、このパラメータを設定します。
**パスワード**
LDAP リポジトリ内の CRL オブジェクトへのアクセスに使用する管理者パスワード。これは、LDAP リポジトリへのアクセスが制限されている場合、つまり匿名アクセスが許可されていない場合に必要です。
**間隔**
CRL リフレッシュを実行する間隔。CRL を瞬時に更新する場合は、間隔を NOW として指定します。可能な値:MONTHLY、DAILY、WEEKLY、NOW、NONE。
**日**
CRL 更新を実行する日。間隔が DAILY に設定されている場合、このオプションは使用できません。
**時間**
CRL 更新を実行する時刻を 24 時間形式で指定します。
**バイナリ**
LDAP ベースの CRL 取得モードをバイナリに設定します。指定可能な値:はい、いいえ。デフォルト:NO。
- ナビゲーションウィンドウで、[SSL] を展開し、[CRL] をクリックします。
- 更新パラメータを更新する設定済みの CRL を選択し、[Open] をクリックします。
- [CRL 自動更新を有効にする] オプションを選択します。
- 「CRL自動リフレッシュ・パラメータ」グループで、次のパラメータの値を指定します。
注意:アスタリスク(*)は必須パラメータを示します。
- 方法
- バイナリ
- Scope
- Server IP
- Port*
- URL
- Base DN*
- Bind DN
- Password
- Interval
- Day(s)
- Time
- [作成] をクリックします。[CRL] ペインで、構成した CRL を選択し、画面の下部に表示される設定が正しいことを確認します。
この記事の概要
- CRL を追加するには
- 構成ユーティリティで LDAP または HTTP を使用して CRL 自動リフレッシュを構成するには
- Citrix Gateway で更新されるCRLの名前。
- CRL 自動更新を有効または無効にします。
- CRL を発行した CA の証明書。この CA 証明書は、アプライアンスにインストールする必要があります。Citrix ADCは、証明書がインストールされているCAからのみCRLを更新できます。
- Web サーバ(HTTP)または LDAP サーバから CRL リフレッシュを取得するプロトコル。指定可能な値:HTTP、LDAP。デフォルトは HTTP です。
- CRL の取得元となる LDAP サーバの IP アドレス。IPv6 IP アドレスを使用するには、[IPv6] を選択します。
- LDAP または HTTP サーバーが通信するポート番号。
- CRL の取得元となる Web ロケーションの URL。
- LDAP リポジトリ内の CRL オブジェクトにアクセスするために使用されるバインド DN 属性。バインド DN アトリビュートは、LDAP サーバの管理者クレデンシャルです。LDAP サーバへの不正アクセスを制限するには、このパラメータを設定します。
- LDAP リポジトリ内の CRL オブジェクトへのアクセスに使用する管理者パスワード。これは、LDAP リポジトリへのアクセスが制限されている場合、つまり匿名アクセスが許可されていない場合に必要です。
- CRL リフレッシュを実行する間隔。CRL を瞬時に更新する場合は、間隔を NOW として指定します。可能な値:MONTHLY、DAILY、WEEKLY、NOW、NONE。
- CRL 更新を実行する日。間隔が DAILY に設定されている場合、このオプションは使用できません。
- CRL 更新を実行する時刻を 24 時間形式で指定します。