証明書を取り消す
さまざまな PKI 証明書を取り消す方法について説明します。
デジタル証明書には有効期限があります。ただし、有効期限が切れる前に、さまざまな理由により証明書が無効になる場合があります。証明書の失効と検証は、ローカルで管理することも、CA CRL を参照することによって管理することもできます。
例:CRLをデバイスに手動でロードする
この例では、CRL をデバイスに手動で読み込む方法を示しています。
必要条件
開始する前に、以下を実行します。
公開鍵と秘密鍵のペアを生成します。 「自己署名デジタル証明書」を参照してください。
証明書要求を生成します。 例:CA プロファイルの設定を参照してください。
CA プロファイルを設定します。 例:CA プロファイルの設定を参照してください。
証明書をデバイスに読み込みます。 「例: CA 証明書とローカル証明書を手動で読み込む」を参照してください。
概要
CRL は、手動で読み込むことも、証明書の有効性を確認するときにデバイスが自動的に読み込むようにすることもできます。CRL を手動で読み込むには、CA から CRL を取得し、デバイスに転送します(たとえば、FTP を使用)。
この例では、 revoke.crl と呼ばれるCRL証明書をデバイスの/var/tmpディレクトリからロードします。CA プロファイルは ca-profile-ipsec と呼ばれます(最大ファイル サイズは 5 MB)。
すでに CRL を ca プロファイルにロードしている場合は、最初に コマンド clear security pki crl ca-profile ca-profile-ipsec 実行して古い CRL をクリアします。
構成
プロシージャ
手順
CRL 証明書を手動で読み込むには、次のようにします。
CRL 証明書を読み込みます。
[edit] user@host> request security pki crl load ca-profile ca-profile-ipsec filename /var/tmp/revoke.crl
Junos OSは、X509、PKCS #7、DER、またはPEM形式のCA 証明の読み込みをサポートしています。
検証
設定が正常に機能していることを確認するには、 show security pki crl 運用モードコマンドを入力します。
動的CRLのダウンロードと検証
デジタル証明書は、一定期間発行されます。デジタル証明書は、指定された有効期限を過ぎると無効になります。CA は、発行された証明書を CRL にリストすることにより、その証明書を取り消すことができます。ピア証明書の検証中に、CA サーバからローカル デバイスに CRL をダウンロードすることによって、ピア証明書の失効ステータスがチェックされます。
CA プロファイルが設定されていない場合に証明書の CRL チェックを容易にするために、動的 CA プロファイルが作成されます。動的CAプロファイルは、 dynamic-nnnの形式でローカルデバイス上に自動的に作成されます。
動的 CA プロファイル:
- ローカル デバイスが、ピアの localcert 発行者ごとに動的 CA と動的 CRL(対応する CA 用)をダウンロードすることを許可します
- ピアの証明書の失効ステータスを確認します
VPN デバイスは、ピアの EE 証明書の失効状況を確認します。VPN デバイスは、ピアから受信した証明書を使用して、次のことを行います。
- URL を抽出して、CA の CRL を動的にダウンロードする
- ピアの EE 証明書の失効状況を確認します
図 1 では、Host-A は、Host-B から受信した Sales-CA 証明書と EE 証明書を使用して、Sales-CA の CRL を動的にダウンロードし、Host-B の証明書の失効状況を確認できます。
のマルチレベル階層
単一階層の CA サーバーまたは CA 証明書チェーンの場合、ローカル EE 証明書と受信したピア EE 証明書は、同じ CA サーバーから発行されます。
以下に、さまざまな構成に基づくSRXシリーズファイアウォールの動作の一部を示します。
- trusted-caまたはtrusted-ca-groupでSRXシリーズファイアウォールを設定した場合、デバイスは他のCAを検証または信頼しません。
- SRXシリーズファイアウォールがルートCAのみを信頼するCAのチェーンを持つCAプロファイルを定義し、ピアにこのルートへのサブCAによって署名された証明書がある場合、動的CAとCRLがデバイスに追加されます。
表 1 に、動的 CA または CRL が作成されないいくつかのサンプル シナリオを示します。
| シナリオ |
条件 |
|---|---|
| サンプル シナリオ 1 |
CA プロファイルで、ca-profile-name に信頼できる CA を定義しており、CA プロファイルで信頼できる CA として定義されていない別の CA によって署名された証明書を持つデバイスから接続を受信します。 |
| サンプル シナリオ 2 |
SRXシリーズファイアウォールがサブCAのみを信頼するCAのチェーンを持つCAプロファイルを定義し、ピアにこのサブCAより上位のレベルによって署名された証明書がある。 |
動的 CA プロファイルを有効にするには、[edit security pki ca-profile profile-name] 階層レベルの Root-CA プロファイルで revocation-check crl オプションを設定する必要があります。
ルート CA プロファイルの失効チェック プロパティは、動的 CA プロファイルに継承されます。 図 1 では、Root-CA の Host-A の CA プロファイル設定により、以下の出力に示すように動的 CA プロファイルが有効になっています。
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
revocation-check {
crl;
}
}
}
Sales-CA の動的 CA プロファイルが Host-A に作成されます。失効チェックは、Sales-CA 動的 CA プロファイルの Root-CA から継承されます。
revocation-check disable ステートメントがルート CA プロファイルで設定されている場合、動的 CA プロファイルは作成されず、動的 CRL のダウンロードとチェックは実行されません。
動的 CA プロファイルからダウンロードされた CRL のデータは、設定された CA プロファイルによってダウンロードされた CRL と同じ方法で、 show security pki crl コマンドで表示されます。動的 CA プロファイルからの CRL は、デバイスで設定された CA プロファイルの CRL と同様に定期的に更新されます。ピア CA 証明書は、CA サーバからダウンロードされた CRL の署名検証にも必要です。
CA 証明書は、CA サーバから受信した CRL を検証するために必要です。そのため、ピアから受信した CA 証明書は、ローカル デバイスに保存されます。ピアから受信した CA 証明書は、CRL とそれが発行した証明書を検証するために使用されます。受信した CA 証明書は管理者によって登録されていないため、ルート CA までの証明書チェーン全体が検証されるまで、証明書の検証が成功したかどうかは決定的ではありません。ルート CA の証明書は、管理者が登録する必要があります。
例:CRL ロケーションを使用した CA プロファイルの設定
この例では、CRL ロケーションを使用して CA プロファイルを設定する方法を示しています。
必要条件
開始する前に、以下を実行します。
デバイスでキーペアを生成します。 「デジタル証明書」を参照してください。
CA プロファイルまたは CA に固有の情報を含むプロファイルを作成します。 例:CA プロファイルの設定を参照してください。
CA から個人証明書を取得します。 例:ローカル証明書の CSR を手動で生成して CA サーバに送信するを参照してください。
証明書をデバイスに読み込みます。 「例: CA 証明書とローカル証明書を手動で読み込む」を参照してください。
自動再登録を構成します。 「例:SecurIDユーザー認証の設定」を参照してください。
必要に応じて、証明書の CRL をデバイスに読み込みます。 例: CRL をデバイスに手動で読み込むを参照してください。
概要
この例では、 my_profileと呼ばれるCAプロファイルの有効性をチェックするようにデバイスに指示します。また、CRL が CA 証明書に付属しておらず、デバイスに読み込まれていない場合は、URL http://abc/abc-crl.crl から CRL を取得するようにデバイスに指示します。
構成
プロシージャ
手順
CRL を使用して証明書を構成するには、次の手順に従います。
CA プロファイルと URL を指定します。
[edit] user@host# set security pki ca-profile my_profile revocation-check crl url http://abc/abc-crl.crl
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security pki 運用モードコマンドを入力します。
例:証明書の有効性の確認
この例では、証明書の有効性を検証する方法を示しています。
必要条件
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、証明書を手動で検証して、証明書が失効していないかどうか、またはローカル証明書の作成に使用された CA 証明書がデバイスに存在しなくなったかどうかを確認します。
証明書を手動で確認する場合、デバイスは CA 証明書(ca-cert)を使用してローカル証明書(local.cert)を検証します。ローカル証明書が有効で、CA プロファイルで revocation-check が有効になっている場合、デバイスは CRL がロードされ、有効であることを確認します。CRL が読み込まれておらず、有効でない場合、デバイスは新しい CRL をダウンロードします。
CA発行の証明書またはCA 証明の場合は、デバイスの設定でDNSを設定する必要があります。DNS は、ディストリビューション CRL および ca-profile 設定の CA CRL URL でホストを解決できる必要があります。また、小切手を受け取るには、同じホストへのネットワーク到達可能性が必要です。
構成
プロシージャ
手順
証明書の有効性を手動で確認するには、次の手順に従います。
ローカル証明書の有効性を検証します。
[edit] user@host> request security pki local-certificate verify certificate-id local.cert
CA 証明書の有効性を検証します。
[edit] user@host> request security pki ca-certificate verify ca-profile ca-profile-ipsec
関連付けられた秘密鍵と署名も検証されます。
検証
設定が正常に機能していることを確認するには、 show security pki ca-profile コマンドを入力します。
エラーの代わりにエラーが返された場合、失敗はpkidに記録されます。
読み込まれた CRL を削除する
読み込まれた CRL を証明書の失効と検証の管理に使用する必要がなくなった場合は、その CRL を削除することを選択できます。
次のコマンドを使用して、読み込まれたCRLを削除します。
user@host> clear security pki crl ca-profile (ca-profile all)
CA プロファイルを指定して、プロファイルによって識別される CA に関連付けられた CRL を削除するか、 all を使用してすべての CRL を削除します。