証明書失効リスト(CRL)を管理する

証明書失効リスト ファイル (CRL) は、Expressway が TLS/HTTPS 経由で Expressway と通信するクライアント ブラウザおよび外部システムによって提示された証明書を検証するために使用されます。 CRL は、失効したために Expressway との通信に使用できなくなった証明書を識別します。

TLS/HTTPS クライアントおよびサーバ証明書に署名する CA の CRL データをアップロードすることをお勧めします。 有効にすると、信頼チェーン内のすべての CA に対して CRL チェックが適用されます。

この章では、次の項目について説明します。

証明書失効ソース

Expressway は、複数のソースから証明書失効情報を取得できます。

  • CRL 配布ポイントからの CRL データの自動ダウンロード。

  • チェックする証明書内の OCSP (Online Certificate Status Protocol) レスポンダ URI 経由 (SIP TLS のみ)。

  • CRL データの手動アップロード。

  • Expressway の 信頼された CA 証明書 ファイル内に埋め込まれた CRL データ。

制限事項と使用ガイドライン

次の制限と使用ガイドラインが適用されます。

  • SIP TLS 接続を確立する際、CRL データソースは SIP 構成ページの証明書の失効チェック設定の対象となります。

  • 自動的にダウンロードされた CRL ファイルは、手動でロードされた CRL ファイルを上書きします (ただし、SIP TLS 接続を検証する場合は、手動でアップロードされた CRL データと自動的にダウンロードされた CRL データの両方が使用されることがあります)。

  • 外部ポリシー サーバによって提示された証明書を検証する場合、Expressway は手動でロードされた CRL のみを使用します。

  • リモート ログイン アカウント認証のために LDAP サーバとの TLS 接続を検証する場合、Expressway は 信頼された CA 証明書 ([ツール] > [セキュリティ] > [信頼された CA 証明書]) に埋め込まれた CRL データのみを使用します。

    LDAP 接続の場合、Expressway はサーバーまたは発行 CA 証明書の証明書配布ポイント URL から CRL をダウンロードしません。 また、 CRL 管理 ページの手動または自動更新設定も使用されません。

自動 CRL 更新

Expressway を自動 CRL 更新用に設定することを推奨します。 これにより、証明書の検証に最新の CRL が利用できるようになります。

Expressway で CRL の自動更新を設定するには:

手順

ステップ 1

メンテナンス > セキュリティ > CRL 管理に移動します

ステップ 2

[自動 CRL 更新][有効] に設定する

ステップ 3

Expressway が CRL ファイルを取得できる一連の HTTP(S) 配布ポイントを入力します。

  • 各配布ポイントを新しい行に指定する必要があります

  • HTTP(S) 配布ポイントのみがサポートされています。HTTPS を使用する場合は、配布ポイントサーバー自体に有効な証明書が必要です。

  • PEM および DER エンコードされた CRL ファイルがサポートされています

  • 配布ポイントは、CRL ファイルを直接指定することも、複数の CRL ファイルを含む ZIP および GZIP アーカイブを指定することもできます。

  • URL 内またはダウンロードしたアーカイブから解凍されたファイルのファイル拡張子は重要ではありません。Expressway が基になるファイルの種類を独自に判断します。ただし、一般的な URL は次の形式になります。

    • http://example.com/crl.pem

    • http://example.com/crl.der

    • http://example.com/ca.crl

    • https://example.com/allcrls.zip

    • https://example.com/allcrls.gz

ステップ 4

毎日の更新時刻 (UTC)を入力します。 これは、Expressway が配布ポイントから CRL の更新を試みるおおよその時刻です。

ステップ 5

[保存(Save)] をクリックします。

手動 CRL 更新

CRL ファイルを手動で Expressway にアップロードできます。 外部ポリシー サーバによって提示された証明書は、手動でロードされた CRL に対してのみ検証できます。

CRL ファイルをアップロードするには:


(注)  

CRL ファイルのサイズが 16 MB 未満であることを確認します。

手順

ステップ 1

[メンテナンス] > [セキュリティ] > [CRL管理] の順に選択します。

ステップ 2

「参照」 をクリックし、ファイルシステムから必要なファイルを選択します。 PEM エンコード形式である必要があります。

ステップ 3

[CRL ファイルのアップロード(Upload CRL file)] をクリックします。

これにより、選択したファイルがアップロードされ、以前にアップロードされた CRL ファイルが置き換えられます。
手動でアップロードしたファイルを Expressway から削除する場合は、 「失効リストの削除」 をクリックします。

証明機関の CRL の有効期限が切れると、その CA によって発行されたすべての証明書は失効したものとして扱われます。

Online Certificate Status Protocol (OCSP)

Expressway は、OCSP レスポンダとの接続を確立して、特定の証明書のステータスを照会できます。Expressway は、検証対象の証明書にリストされているレスポンダ URI から、使用する OCSP レスポンダを決定します。 OCSP レスポンダは、証明書のステータスとして "良好""失効" 、または "不明" を送信します。

OCSP の利点は、失効リスト全体をダウンロードする必要がないことです。 OCSP は SIP TLS 接続でのみサポートされます。

OCSP レスポンダへの接続には、Expressway-E からの送信通信が必要です。 使用している OCSP レスポンダのポート番号 (ポート 80 または 443) を確認し、Expressway-E からそのポートへの送信通信が許可されていることを確認します。

SIP TLS 接続の失効チェックを構成する

SIP TLS 接続の証明書失効チェックの管理方法を構成する必要があります。

手順

ステップ 1

[構成] > [SIP] に移動します

ステップ 2

証明書失効チェック セクションまで下にスクロールし、それに応じて設定を構成します。

フィールド

説明

使用上のヒント

証明書失効チェックモード

SIP TLS 接続の確立中に交換される証明書に対して失効チェックを実行するかどうかを制御します。

失効チェックを有効にすることをお勧めします。

OCSP の使用

証明書失効チェックを実行するためにオンライン証明書ステータス プロトコル (OCSP) を使用できるかどうかを制御します。

OCSP を使用するには、以下の方法があります。

  • チェックする X.509 証明書には、OCSP レスポンダ URI が含まれている必要があります。

  • OCSP レスポンダは、SHA-256 ハッシュ アルゴリズムをサポートする必要があります。 サポートされていない場合、OCSP 失効チェックと証明書の検証は失敗します。

CRLs の使用

証明書失効リスト (CRL) を使用して証明書失効チェックを実行するかどうかを制御します。

証明書が OCSP をサポートしていない場合は、CRL を使用できます。

CDP からの CRL ダウンロードを許可する

X.509 証明書に含まれる CDP URI からの CRL のダウンロードを許可するかどうかを制御します。

フォールバック動作

失効ソースに接続できない場合など、失効ステータスを確立できない場合の失効チェック動作を制御します。

失効として扱う: 証明書を失効として扱います (したがって、TLS 接続は許可されません)。

失効していないものとして扱う: 証明書を失効していないものとして扱います。

デフォルト: 失効していないものとして扱う

「失効していないものとして扱う」 は、失効元に接続できない場合でもシステムが引き続き正常に動作することを保証しますが、失効した証明書が受け入れられる可能性があることを意味します。