ocsp (Security PKI)
構文
ocsp {
connection-failure (disable | fallback-crl);
disable-responder-revocation-check;
nonce-payload (enable | disable);
url ocsp-url;
}
階層レベル
[edit security pki ca-profile ca-profile-name revocation-check]
説明
オンライン証明書状態プロトコル (OCSP) を構成して、証明書の失効状態を確認します。
オプション
| connection-failure | (オプション)OCSP レスポンダーへの接続障害が発生した場合に実行するアクションを指定します。このオプションが構成されておらず、OCSP レスポンダーからの応答がない場合、証明書の検証は失敗します。
|
||||
| disable-responder-revocation-check | (オプション)OCSP 応答で受信した CA 証明書の失効チェックを無効にします。OCSP 応答で受信した証明書は、通常、有効期間が短く、失効チェックは必要ありません。 |
||||
| nonce-payload | (オプション)ノンスペイロードを送信して、リプレイ攻撃を防止します。nonce ペイロードは、明示的に無効にされていない限り、デフォルトで送信されます。有効にすると、SRXシリーズファイアウォールはOCSP応答にナンスペイロードが含まれることを期待し、そうでない場合、失効チェックは失敗します。OCSP レスポンダがノンス ペイロードで応答できない場合は、このオプションを無効にします。
|
||||
| url ocsp-url | OCSP レスポンダーの HTTP アドレスを指定します。最大 2 つの HTTP URL アドレスを設定できます。設定された URL に到達できない場合、または URL が設定されていない場合は、検証対象の証明書の URL がチェックされます。 |
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース12.1X46-D20で導入されたステートメント。