Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

オンライン証明書ステータスプロトコルと証明書失効リストについて

 

OCSP は、X509 証明書の失効ステータスを確認するために使用されます。OCSP では、証明書の失効ステータスをリアルタイムで提供します。これは、銀行トランザクションや株式取引などの時間的に影響のある状況で役に立ちます。

証明書の失効ステータスは、SRX シリーズデバイスの外部にある OCSP サーバーに要求を送信することでチェックされます。サーバーからの応答に基づいて、VPN 接続が許可または拒否されます。OCSP 応答は、SRX シリーズデバイスでキャッシュされません。

OCSP サーバーは、証明書を発行する証明機関 (CA)または指定された承認済みレスポンダーとすることができます。OCSP サーバーの場所は、手動で設定するか、または検証する証明書から抽出できます。最初に要求は、[ ocsp urledit security pki ca-profile profile-name revocation-check] 階層レベルのステートメントで CA プロファイルに手動で設定された OCSP サーバーロケーションに送信されます。各 CA プロファイルに対して、最大2つの場所を設定できます。最初に構成された OCSP サーバーにアクセスできない場合、その要求は2番目の OCSP サーバーに送信されます。2番目の OCSP サーバーに到達できない場合、その要求は証明書の AuthorityInfoAccess extension フィールド内の場所に送信されます。このuse-ocspオプションは、証明書失効リスト (CRL)がデフォルトのチェック方法である場合にも設定する必要があります。

SRX シリーズデバイスは、CA または許可された応答側からの、署名済み OCSP 応答のみ受け付けます。受信した応答は、信頼された証明書を使用して検証されます。応答は次のように検証されます。

  1. 設定された CA プロファイル用に登録された CA 証明書を使用して、応答を検証します。
  2. Ocsp 応答には、OCSP 応答を検証するための証明書が含まれている場合があります。受信した証明書には、SRX シリーズデバイスに登録された CA 証明書による署名が必要です。受信した証明書が CA 証明書によって検証された後、OCSP 応答を検証するために使用されます。

OCSP サーバーからの応答は、別の Ca によって署名されていることがあります。以下のシナリオがサポートされています。

  • デバイスのエンドエンティティ証明書を発行する CA サーバーは、OCSP 失効状態の応答にも署名します。SRX シリーズデバイスは、SRX シリーズデバイスに登録された CA 証明書を使用して OCSP 応答署名を検証します。OCSP 応答が検証された後、証明書の失効ステータスがチェックされます。

  • 承認されたレスポンダーに OCSP 失効ステータス応答が署名されます。承認されたレスポンダーの証明書と検証するエンドエンティティ証明書は、同じ CA によって発行されている必要があります。承認された応答側では、まず SRX シリーズデバイスに登録した CA 証明書を使用して検証します。OCSP 応答は、応答側’s CA 証明書を使用して検証されます。SRX シリーズデバイスはその後、OCSP 応答を使用して、エンドエンティティ証明書の失効ステータスを確認します。

  • 検証されるエンドエンティティ証明書と OCSP 応答に異なる CA 署名者がいます。OCSP 応答は、検証されるエンドエンティティ証明書の証明書チェーンの CA によって署名されています。(IKE ネゴシエーションに参加するすべてのピアには、それぞれの証明書チェーンに共通の信頼された CA が少なくとも1つ必要です)。OCSP レスポンダー’s CA は、証明書チェーンの CA を使用して検証されます。応答側の CA 証明書を検証した後、OCSP 応答は’、応答側 s CA 証明書を使用して検証されます。

リプレイ攻撃を阻止するために、 nonceペイロードを OCSP 要求で送信できます。デフォルトでは、Nonce ペイロードは明示的に無効になっていない限り送信されます。有効にした場合、SRX シリーズデバイスは OCSP の応答に nonce ペイロードを含めることを想定します。それ以外の場合、失効チェックは失敗します。OCSP レスポンダーが nonce ペイロードで応答できない場合は、SRX シリーズデバイスで nonce ペイロードを無効にする必要があります。

通常のビジネスでは、さまざまな理由で証明書が失効しています。たとえば、証明書が侵害された疑いがある場合、または証明書の所有者が退職した場合などには、認証を無効にすることをお勧めします。

証明書の revocations と検証は、次の2つの方法で管理できます。

  • ローカル—では、制限されたソリューションを提供しています。

  • 認証局 (CA) の証明書失効リスト (CRL)—を参照することにより、指定した間隔で、または CA によって設定されたデフォルトの間隔で、自動的に CRL をオンラインでアクセスできます。

フェーズ 1 ネゴシエーションで、参加者は CRL リストをチェックして、IKE 交換中に受信した証明書が有効であるかどうかを確認します。CRL が CA 証明書に付属しておらず、デバイスにロードされていない場合、デバイスはローカル証明書の CRL 配布ポイントから自動的にダウンロードを試みます。デバイスが証明書配布ポイント (CDP) 内の URL に接続できなかった場合は、CA プロファイルに設定されている URL から CRL を取得しようとします。

証明書に証明書配布ポイントの拡張機能が含まれておらず、LDAP (ライトウェイトディレクトリアクセスプロトコル) またはハイパーテキスト転送プロトコル (HTTP) を使用して CRL を自動的に取得できない場合は、手動で CRL を取得して読み込むことができます。、デバイスにあります。

CRL チェックが無効になっていても、ローカル証明書は CRL (証明書失効リスト) に対して検証されます。これは、公開鍵基盤 (PKI) 構成を通して CRL チェックを無効にすることによって停止できます。CRL チェックが無効になっている場合、PKI は CRL に対するローカルの証明書を検証しません。

オンライン証明書ステータスプロトコルと証明書失効リストの比較

オンライン証明書状態プロトコル (OCSP) と証明書失効リスト (CRL) の両方を使用して、証明書の失効ステータスを確認できます。各方法には長所と短所があります。

  • OCSP は、証明書のステータスをリアルタイムで提供します。また、CRL はキャッシュされたデータを使用します。時間の影響を受けやすいアプリケーションでは、OCSP は推奨されるアプローチです。

  • 証明書ステータスの照合は VPN デバイスにキャッシュされた情報に基づいて行われるため、CRL チェックが高速になります。OCSP を利用するには、外部サーバーから失効ステータスを取得する時間が必要です。

  • CRL は、CRL サーバーから受信した失効リストを格納するために追加のメモリを必要とします。OCSP では、証明書の失効ステータスを保存するためにメモリを追加する必要はありません。

  • OCSP を使用するには、OCSP サーバーをいつでも利用できる必要があります。CRL はキャッシュされたデータを使用して、サーバーに到達できないときに証明書の失効ステータスをチェックすることが可能です。

MX シリーズおよび SRX シリーズデバイスでは、証明書の失効ステータスを確認するために使用されるデフォルトの方法は CRL です。