証明書モニタリングの概要
管理者は、証明書を管理できる必要があります。どの証明書をいつ更新する必要があるかを認識することがその一部です。Cisco Unified Communications Manager には、どの証明書が更新間近であり、期限がいつであるかを管理者が把握するために役立つ自動システムがあります。次の操作を実行するようにシステムを設定できます。
-
証明書が期限切れに近づいたときに、証明書のステータスを継続的に監視し、電子メールで送信します。
-
オンライン証明書ステータスプロトコル(OCSP)を有効にして、証明書の状態を定期的にチェックし、期限切れの証明書を自動的に失効させます。
オンライン証明書ステータス プロトコル(OCSP)による証明書失効(CRL)
Unified Communications Manager は、証明書失効をモニタリングするための OCSP をプロビジョニングします。スケジュールされた間隔、および証明書がアップロードされるたびにシステムが証明書のステータスをチェックし、有効性を確認します。
オンライン証明書状態プロトコル(OCSP)は、管理者がシステムの証明書要件を管理するのに役立ちます。OCSP を設定すると、証明書の有効性を確認したり期限切れの証明書をリアルタイムで無効化するための、シンプルかつ安全な自動メソッドを使用できます。
コモンクライテリア モードが有効になっている FIPS 展開の場合、OCSP はシステムのコモンクライテリア要件への準拠にも役立ちます。
有効性検査
Unified Communications Manager は、証明書のステータスを確認し、有効性を確認します。
証明書の検証は、次のように行われます。
-
Unified Communications Manager は代理信頼モデル(DTM)を使用し、OCSP 署名属性のルート CA または中間 CA をチェックします。ルート CA または中間 CA は、ステータスを確認するために OCSP 証明書に署名する必要があります。委任された信頼モデルが失敗すると、Unified Communications Manager が応答側の信頼モデル(TRP)にフォールバックし、指定された OCSP 応答の署名証明書を OCSP サーバから使用して証明書を検証します。
(注)
証明書の失効ステータスを確認するために、OCSP レスポンダが実行されている必要があります。
-
[証明書失効(Certificate Revocation)] ウィンドウで OCSP オプションを有効にすると、最も安全な方法でリアルタイムに証明書失効をチェックすることができます。オプションから、証明書の OCSP URI を使用するか、または設定済みの OCSP URI を使用するかを選択します。OCSP の手動設定の詳細については、「OCSP による証明書失効の設定」を参照してください。
(注)
リーフ証明書の場合、syslog、FileBeat、SIP、ILS、LBM などの TLS クライアントは、OCSP 要求を OCSP レスポンダに送信し、OCSP レスポンダからリアルタイムで証明書失効応答を受信します。
コモンクライテリア モードを有効にした状態で検証が実行されると、証明書に対して次のいずれかのステータスが返されます。
-
[良好(Good)]:良好な状態とは、ステータスの問い合わせへの肯定的な応答を示します。この肯定的な応答は、少なくとも証明書が失効していないことを示しますが、必ずしもその証明書が発行済みであること、または、その応答が生成された時刻が証明書の有効期間内にあることを意味するものではありません。レスポンダが作成したアサーションに加えて、発行や有効性の肯定的なステートメントなど、レスポンダが作成した証明書のステータスに関する追加情報を伝送するためには、応答拡張を使用できます。
-
[失効(Revoked)]:失効 状態とは、証明書が失効している(恒久的または一時的に保留されている)ことを示します。
-
[不明(Unknown)]:不明状態とは、OCSP レスポンダが要求された証明書を認識していないことを示します。
(注)
コモンクライテリア モードでは、失効と不明の両方の場合において接続に失敗しますが、コモンクライテリア モードが有効になっていない状態では応答が不明ステータスである場合、接続に成功します。