証明書取り消しの確認の構成

Reflection SSL/TLS 接続と Secure Shell 接続では、電子証明書を使用したホスト認証を構成できます。失効していない証明書を確実に使用するには、CRL または OCSP レスポンダを使用して証明書の取り消しを確認するように Reflection を構成します。

証明書が有効であるかを確認する CRL チェックに代わって使用できるプロトコル (HTTP トランスポートを使用)。OCSP レスポンダは、証明書ステータス要求に対して 3 つの電子署名応答 (good (良好)、revoked (取り消し)、unknown(不明)) のいずれかによって応答します。OCSP を使用すると、サーバやクライアントが大きな CRL を取得して並べ替える必要がありません。

認証局によって失効された、電子署名された証明書の一覧。CRL で識別された証明書はすでに有効ではありません。

PKI (Public Key Infrastructure) の核となる構成要素です。電子証明書は認証局 (CA) から発行され、証明書の情報が有効であることを保証します。各証明書には、証明書の所有者に関する情報、証明書の所有者の公開鍵のコピー (メッセージおよび電子署名の暗号化と解読に使用)、電子署名 (証明書の内容に基づいて認証局が生成) が含まれています。受信者はこの電子署名を使用して、証明書が不正に変更されておらず、信頼できることを確認します。

Reflection で CRL の確認が有効になっている場合は、証明書の CRL Distribution Point (CDP) フィールドに指定されているすべての場所で CRL が必ず確認されます。また、LDAP ディレクトリにある CRL を確認したり、OCSP レスポンダを使用するように Reflection を構成することもできます。

情報の中央位置への保存およびユーザへの情報の配布に使用できる標準的なプロトコル。

Reflection では、証明書取り消しの確認の既定値は現在のシステム設定に基づいて決まります。システムが CRL の確認を行うように構成されている場合は、既定ですべての Reflection セッションにおいて CRL を使用して証明書取り消しが確認されます。

注意:Reflection が DOD PKI モードで実行されている場合、証明書取り消しは常に有効であり、無効にすることはできません。

すべてのSSHセッションでの CRL 確認を有効にするには

Internet Explorerで [ツール] メニューから [インターネットオプション]、そして [詳細設定] タブを選択します。
[セキュリティ] タブから [サーバーの証明書失効を確認する] オプションを選択します。

Reflection では、CRL または OCSP レスポンダを使用した証明書取り消し確認を行えます。

Secure Shell セッションでの CRL 確認を有効にするには

[Reflection Secure Shell の設定] ダイアログボックスを開きます。
[PKI] タブをクリックします。
[OCSP を使用] または [CRL を使用] を選択します。

SSL/TLS セッションでの CRL の確認を有効にするには

[セキュリティのプロパティ] ダイアログボックスを開きます。
[SSL/TLS] タブで [PKI の構成] をクリックします([SSL/TLS セキュリティを使用] がオンになっている必要があります)。
[OCSP を使用] または [CRL を使用] をオンにします。

注意:証明書で必要な CRL レスポンダおよび OCSP レスポンダは、証明書の AIA 拡張および CDP 拡張に指定されます。この情報が証明書で提供されない場合、[Reflection 証明書マネージャ]の [OCSP] タブおよび [LDAP] タブを使用して構成できます。