証明書失効リスト
認証局 (CA) は、証明書失効リスト (CRL) を発行します。CRL には、信頼できなくなった証明書に関する情報が含まれています。たとえば、アンがXYZ Corporationを離れたとします。会社は、Ann の証明書を CRL に配置して、彼女がそのキーでメッセージに署名するのを防ぐことができます。
同様に、秘密キーが侵害された場合、または証明書の有効期限が切れて新しい証明書が使用されている場合は、証明書を取り消すことができます。公開キーを信頼する前に、証明書が CRL に表示されていないことを確認してください。
NetScaler Gateway は、次の2つのCRLタイプをサポートしています。
- 失効した証明書または無効になった証明書を一覧表示する CRL
- Online Certificate Status Protocol (OSCP)、X.509 証明書の失効ステータスを取得するために使用されるインターネットプロトコル
CRL を追加するには、次の手順を実行します。
NetScaler Gateway アプライアンスでCRLを構成する前に、CRLファイルがアプライアンスにローカルに保存されていることを確認します。高可用性セットアップの場合、CRLファイルは両方のNetScaler Gateway アプライアンスに存在し、ファイルへのディレクトリパスは両方のアプライアンスで同じである必要があります。
CRL を更新する必要がある場合は、次のパラメータを使用できます。
- CRL名:NetScaler ADCに追加されるCRLの名前。最大 31 文字です。
- CRLファイル:NetScaler ADCに追加されるCRLファイルの名前。NetScaler ADCは、デフォルトで/var/netscaler/sslディレクトリでCRLファイルを検索します。最大 63 文字です。
- URL: 最大 127 文字
- ベース DN: 最大 127 文字
- バインド DN: 最大 127 文字
- パスワード:最大 31 文字
- 日数:最大 31
- 構成ユーティリティの [構成] タブで、[SSL] を展開し、[CRL] をクリックします。
- 詳細ペインで、[Add] をクリックします。
- [Add CRL] ダイアログボックスで、次の値を指定します。
- CRL名
- CRL ファイル
- フォーマット (オプション)
- CA 証明書 (オプション)
- [Create] をクリックしてから、[Close] をクリックします。CRL 詳細ペインで、構成した CRL を選択し、画面の下部に表示される設定が正しいことを確認します。
GUI で LDAP または HTTP を使用して CRL 自動更新を設定するには、次の手順を実行します。
CRL は、CA によって定期的に、または場合によっては特定の証明書が失効した直後に生成および発行されます。NetScaler Gateway アプライアンスのCRLを定期的に更新して、無効な証明書で接続しようとするクライアントから保護することをお勧めします。
NetScaler Gateway アプライアンスは、Webの場所またはLDAPディレクトリからCRLを更新できます。更新パラメータと Web ロケーションまたは LDAP サーバを指定する場合、コマンドの実行時に CRL がローカルハードディスクドライブに存在している必要はありません。最初の更新では、CRL File パラメーターで指定されたパスのローカルハードディスクドライブにコピーが格納されます。CRL を格納するためのデフォルトのパスは /var/netscaler/SSL です。
CRL リフレッシュパラメータ
-
CRL名
NetScaler Gateway で更新されるCRLの名前。
-
CRL 自動更新を有効にする
CRL 自動更新を有効または無効にします。
-
CA 証明書
CRL を発行した CA の証明書。この CA 証明書は、アプライアンスにインストールする必要があります。NetScaler ADCは、証明書がインストールされているCAからのみCRLを更新できます。
-
方法
Web サーバ(HTTP)または LDAP サーバから CRL リフレッシュを取得するプロトコル。可能な値:HTTP、LDAP。デフォルト:HTTP。
-
スコープ
LDAP サーバーでの検索操作の範囲。指定したスコープが Base の場合、検索はベース DN と同じレベルになります。指定した範囲が One の場合、検索はベース DN の 1 レベル下まで拡張されます。
-
サーバーIP
CRL の取得元の LDAP サーバの IP アドレス。IPv6 IP アドレスを使用するには、[IPv6] を選択します。
-
ポート
LDAP または HTTP サーバが通信するポート番号。
-
URL
CRL の取得元の Web ロケーションの URL。
-
ベース DN
LDAP サーバが CRL 属性を検索するために使用するベース DN。 注:LDAPサーバーでCRLを検索するには、CA証明書の発行者名の代わりにベースDN属性を使用することをお勧めします。Issuer-Name フィールドは、LDAP ディレクトリ構造の DN と正確に一致しない場合があります。
-
バインド DN
バインド DN 属性は、LDAP リポジトリ内の CRL オブジェクトにアクセスするために使用されます。バインド DN 属性は、LDAP サーバの管理者クレデンシャルです。LDAP サーバへの不正アクセスを制限するには、このパラメータを設定します。
-
パスワード
LDAP リポジトリ内の CRL オブジェクトへのアクセスに使用される管理者パスワード。LDAP リポジトリへのアクセスが制限されている場合、つまり匿名アクセスが許可されていない場合、パスワードが必要です。
-
間隔
CRL リフレッシュを実行する必要がある間隔。CRL を瞬時に更新する場合は、間隔を NOW として指定します。可能な値:MONTHLY, DAILY, WEEKLY, NOW, NONE.
-
日数
CRL リフレッシュを実行する必要がある日。間隔が DAILYに設定されている場合、このオプションは使用できません。
-
時間
CRL リフレッシュを実行する必要がある正確な時刻(24 時間形式)。
-
バイナリ
LDAP ベースの CRL 取得モードをバイナリに設定します。可能な値:はい、いいえ。デフォルト:いいえ。
- ナビゲーションウィンドウで、[SSL] を展開し、[CRL] をクリックします。
- 更新パラメータを更新する設定済みの CRL を選択し、[Open] をクリックします。
- [CRL 自動更新を有効にする] オプションを選択します。
- [CRL 自動リフレッシュパラメータ] グループで、次のパラメータの値を指定します。
注:アスタリスク (*) は、必須パラメータを示します。
- 方法
- バイナリ
- スコープ
- サーバーIP
- ポート*
- URL
- ベース DN*
- バインド DN
- パスワード
- 間隔
- 日数
- 時間
- [Create] をクリックします。[CRL] ペインで、構成した CRL を選択し、画面の下部に表示される設定が正しいことを確認します。
OCSPで証明書のステータスを監視する
Online Certificate Status Protocol (OCSP) は、クライアント SSL 証明書の状態を判断するために使用されるインターネットプロトコルです。NetScaler Gateway は RFC 2560 で定義されているように OCSP をサポートしています。OCSP には、タイムリーな情報の点で、証明書失効リスト (CRL) よりも大きな利点があります。クライアント証明書の最新の失効ステータスは、多額の資金や高額株式取引を含む取引で特に役立ちます。また、使用するシステムリソースとネットワークリソースも少なくなります。NetScaler Gateway のOCSPの実装には、要求のバッチ処理と応答のキャッシュが含まれます。
OCSPのNetScaler Gateway 実装
NetScaler Gateway アプライアンスでのOCSP検証は、NetScaler Gateway がSSLハンドシェイク中にクライアント証明書を受信したときに開始されます。証明書を検証するために、NetScaler Gateway はOCSP要求を作成し、OCSPレスポンダーに転送します。そのために、NetScaler Gateway は、クライアント証明書からOCSPレスポンダーのURLを抽出するか、ローカルで構成されたURLを使用します。NetScaler Gateway がサーバーからの応答を評価し、トランザクションを許可するか拒否するかを決定するまで、トランザクションは一時停止状態になります。サーバーからの応答が構成された時間を超えて遅延し、他のレスポンダーが構成されていない場合、NetScaler Gateway は、OCSPチェックをオプションまたは必須に設定したかどうかに応じて、トランザクションを許可するかエラーを表示します。NetScaler Gateway は、OCSP要求のバッチ処理とOCSP応答のキャッシュをサポートして、OCSPレスポンダーの負荷を軽減し、応答を高速化します。
OCSP リクエストのバッチング
NetScaler Gateway は、クライアント証明書を受信するたびに、OCSPレスポンダーに要求を送信します。OCSPレスポンダーの過負荷を避けるために、NetScaler Gateway は同じ要求で複数のクライアント証明書の状態を照会できます。リクエストのバッチ処理を効率的に実行するには、バッチの形成を待っている間に単一の証明書の処理が遅れないようにタイムアウトを定義する必要があります。
OCSP 応答キャッシュ
OCSP レスポンダから受信した応答をキャッシュすると、ユーザへの応答が速くなり、OCSP レスポンダの負荷が軽減されます。OCSPレスポンダーからクライアント証明書の失効ステータスを受信すると、NetScaler Gateway は事前定義された時間応答をローカルにキャッシュします。SSLハンドシェイク中にクライアント証明書を受信すると、NetScaler Gateway はまずローカルキャッシュでこの証明書のエントリを確認します。まだ有効な(キャッシュタイムアウト制限内で)エントリが見つかると、そのエントリが評価され、クライアント証明書が受け入れられるか拒否されます。証明書が見つからない場合、NetScaler Gateway はOCSPレスポンダーに要求を送信し、構成された期間応答をローカルキャッシュに保存します。
OCSP 証明書ステータスの設定
オンライン証明書状態プロトコル (OCSP) を構成するには、OCSP レスポンダの追加、OCSP レスポンダを認証局 (CA) からの署名付き証明書にバインドし、証明書と秘密キーを Secure Sockets Layer (SSL) 仮想サーバーにバインドします。構成済みの OCSP レスポンダーに別の証明書と秘密キーをバインドする必要がある場合は、まずレスポンダーをバインド解除してから、レスポンダーを別の証明書にバインドする必要があります。
OCSP を設定するには
-
[構成] タブのナビゲーションウィンドウで、[SSL] を展開し、[OCSP レスポンダー] をクリックします。
-
詳細ペインで、[Add] をクリックします。
-
[名前] に、プロファイルの名前を入力します。
-
[URL] に、OCSP レスポンダの Web アドレスを入力します。
このフィールドは必須です。Web アドレスは 32 文字を超えることはできません。
-
OCSP応答をキャッシュするには、[キャッシュ]をクリックし、[タイムアウト]に、NetScaler Gateway が応答を保持する分数を入力します。
-
[要求バッチ処理] で、[有効にする] をクリックします。
-
[バッチング遅延] で、OCSP 要求のグループをバッチ処理する時間をミリ秒単位で指定します。
指定できる値は 0 ~ 10000 です。デフォルトは1です。
-
[時間スキューで生成される時間]に、アプライアンスが応答を確認または受け入れる必要があるときにNetScaler Gateway が使用できる時間を入力します。
-
OCSP レスポンダによる署名チェックを無効にする場合は、[応答の検証] で [応答を信頼する] を選択します。
信頼応答を有効にする場合は、ステップ 8 とステップ 9 をスキップします。
-
[証明書] で、OCSP 応答の署名に使用する証明書を選択します。
証明書が選択されていない場合、OCSP レスポンダがバインドされている CA が応答の検証に使用されます。
-
[要求タイムアウト] に、OCSP 応答を待機するミリ秒数を入力します。
この時間には、バッチ処理遅延時間も含まれます。値の範囲は 0 ~ 120000 です。デフォルトは 2000 です。
-
[署名証明書] で、OCSP 要求の署名に使用する証明書と秘密キーを選択します。証明書と秘密キーを指定しない場合、リクエストは署名されません。
-
一度使用した番号を有効にするには
(nonce) extension
、[Nonce] を選択します。 -
クライアント証明書を使用するには、[クライアント証明書の挿入] をクリックします。
-
[Create] をクリックしてから、[Close] をクリックします。