証明書失効の設定
[有効性検証(Validation Checks)] では、Unified Communications Manager は証明書のステータスを確認し、有効性を確認します。
証明書の検証手順は次のとおりです。
-
Unified Communications Manager は代理信頼モデル(DTM)を使用し、OCSP 署名属性のルート CA または中間 CA をチェックします。ルート CA または中間 CA は、OCSP 証明書に署名してステータスを確認する必要があります。
-
代理信頼モデルが失敗した場合は、レスポンダの信頼モデル(TRP)に戻ります。次に、Unified Communications Manager は OCSP サーバからの指定された OCSP 応答署名証明書を使用して証明書を検証します。
(注) |
証明書の失効ステータスを確認するには、OCSP 応答側が実行されている必要があります。 |
期限切れの証明書が自動的に失効するように OCSP を設定します。[証明書失効(Certificate Revocation)] ウィンドウで OCSP オプションを有効にすると、最も安全な方法でリアルタイムに証明書失効をチェックすることができます。オプションから、証明書の OCSP URI を使用するか、または設定済みの OCSP URI を使用するかを選択します。
(注) |
syslog、FileBeat、SIP、ILS、LBM など、TLS クライアントは OCSP からリアルタイムで失効応答を受信します。 |
システムに OCSP チェックに必要な証明書があることを確認します。OCSP 応答属性で設定されたルート CA 証明書または中間 CA 証明書、または tomcat-trust にアップロードされた、指定 OCSP 署名証明書を使用できます。
手順
ステップ 1 |
Cisco Unified OS Administration で、 を選択します。 |
||||
ステップ 2 |
[ANATの有効化(Enable OCSP)] チェックボックスを選択します。 |
||||
ステップ 3 |
証明書に OCSP レスポンダ URI が設定されている場合は、[証明書からの OCSP URI を使用する(Use OCSP URI from Certificate)] オプションをクリックします。 または |
||||
ステップ 4 |
OCSP チェックに OCSP レスポンダを指定する場合は、[設定された OCSP URI を使用(Use Configured OCSP URI Option)] をクリックします。 |
||||
ステップ 5 |
レスポンダの [OCSP の設定済み URI] を入力します。 |
||||
ステップ 6 |
失効チェックを有効にするには、[失効チェックの有効化(Enable Revocation Check)] チェックボックスをオンにします。 |
||||
ステップ 7 |
失効ステータスを確認する頻度を入力し、[時間(Hours)] または [Days(日)] から時間間隔をクリックします。 |
||||
ステップ 8 |
[保存(Save)] をクリックします。
OCSP レスポンダは、検証とコモンクライテリアモードがオンの場合に、次のいずれかのステータスを返します。
|
||||
ステップ 9 |
(任意) CTI、IPsec または LDAP リンクがある場合は、これらの長期的に中断しない接続の OCSP 失効サポートを有効にするために、上記の手順に加えて次の手順も行う必要があります。 |