証明書失効ソース
Expressway は複数のソースから証明書失効情報を取得できます。
-
CRL 分散ポイントからの CRL データの自動ダウンロード
-
証明書内のチェック対象 OCSP(Online Certificate Status Protocol)レスポンダ URI 経由(SIP TLS のみ)
-
CRL データの手動アップロード
-
Expressway の信頼できる CA 証明書ファイル内に組み込まれた CRL データ
制限事項と使用上のガイドライン
次の制約事項および使用上のガイドラインが適用されます。
-
SIP TLS 接続を確立するときに、CRL データソースは、[SIP 構成(SIP configuration)] ページの [証明書失効確認(Certificate revocation checking)] 設定を必要とします。
-
自動的にダウンロードされた CRL ファイルが、手動でロードされた CRL ファイルを上書きする場合(SIP TLS 接続を確認する場合、手動でアップロードされた CRL データと自動でダウンロードされた CRL データの両方を使用する可能性がある場合は除く)
-
外部ポリシー サーバによって提示された証明書を検証する際に、Expressway は手動でロードされた CRL のみを使用します。
-
リモート ログイン アカウント認証用に LDAP サーバーとの TLS 接続を検証する際、Expressway は 信頼できる CA 証明書( )に組み込まれた CRL データのみを使用します。
LDAP 接続の場合、Expressway はサーバの証明書配布ポイントの URL または発行する CA 証明書から CRL をダウンロードしません。また、[CRL 管理(CRL management)] ページの手動または自動更新設定も使用しません。
自動 CRL 更新
CRL の自動更新用に Expressway を構成するには次を実行します。
手順
ステップ 1 |
の順に選択します。 |
ステップ 2 |
[自動 CRL 更新(Automatic CRL updates)] を [有効(Enabled)] に設定します。 |
ステップ 3 |
Expressway が CRL ファイルを取得できる HTTP/HTTPS 分散ポイントのセットを入力します。
|
ステップ 4 |
[Daily update time] を入力します(UTC 単位で)。これは、Expressway が分散ポイントからその CRL の更新を試行するおおよその時刻です。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
手動 CRL 更新
CRL ファイルをアップロードするには、次の手順を実行します。
(注) |
CRL ファイルのサイズが 16 MB 未満であることを確認します。 |
手順
ステップ 1 |
の順に選択します。 |
ステップ 2 |
[参照(Browse)] をクリックして、ファイル システムから必要なファイルを選択します。また、PEM エンコード形式である必要があります。 |
ステップ 3 |
[CRL ファイルのアップロード(Upload CRL file)] をクリックします。 これによって、選択したファイルがアップロードされ、以前にアップロードした CRL ファイルが置換されます。 |
注:認証局の CRL が期限切れの場合、その CA から発行されたすべての証明書が無効として扱われます。
オンライン証明書ステータス プロトコル(OCSP)
Expressway は OCSP レスポンダとの接続を確立して特定の証明書のステータスを照会することができます。Expressway は使用する OCSP レスポンダを、確認する証明書に示されているレスポンダ URI から決定します。OCSP レスポンダは"良好(good)"、"失効(revoked)"、または"不明(unknown)"で証明書のステータスを送信します。
OCSP の利点は、失効リスト全体をダウンロードする必要がないことです。OCSP は SIP TLS 接続のみでサポートされます。
OCSP レスポンダへ接続するには、Expressway-E からのアウトバウンド通信が必要です。使用している OCSP レスポンダのポート番号(ポート 80 または 443)をチェックし、Expressway-E からそのポートへのアウトバウンド通信が可能であることを確認します。