Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

証明書の取り消し

デジタル証明書の有効期限はありますが、有効期限が切れる前に、多くの理由で証明書が無効になる場合があります。証明書の失効と検証をローカルで管理し、認証局(CA)証明書失効リスト(CRL)を参照することで管理できます。

オンライン証明書ステータスプロトコルと証明書失効リストについて

OCSPは、X509証明書の失効ステータスを確認するために使用されます。OCSP は証明書の失効ステータスをリアルタイムで提供し、銀行取引や株式取引などの時間の影響を受けやすい状況で役立ちます。

証明書の失効ステータスは、SRXシリーズデバイスの外部にあるOCSPサーバーに要求を送信することで確認されます。サーバーからの応答に基づいて、VPN 接続が許可または拒否されます。OCSP 応答は SRX シリーズ デバイスにキャッシュされません。

OCSPサーバーは、証明書または指定された認定レスポンダーを発行する 認証機関(CA) にすることができます。OCSP サーバーの場所は、手動で構成することも、検証中の証明書から抽出することもできます。要求は[]階層レベルの ステートメントedit security pki ca-profile profile-name revocation-checkでCAプロファイルocsp urlで手動で設定されたOCSPサーバーの場所に最初に送信されます。各CAプロファイルに対して最大2つの場所を設定できます。最初に設定されたOCSPサーバーに到達できない場合、その要求は2番目のOCSPサーバーに送信されます。2 番目の OCSP サーバーに到達できない場合、要求は証明書の AuthorityInfoAccess 拡張フィールドの場所に送信されます。use-ocspオプションも、証明書失効リスト(CRL)がデフォルトのチェック方法であるため、構成する必要があります。

SRX シリーズ デバイスは、CA または認定レスポンダーからの署名された OCSP 応答のみを受け入れます。受信した応答は、信頼できる証明書を使用して検証されます。応答は以下のように検証されます。

  1. 構成された CA プロファイルに対して登録された CA 証明書を使用して、応答を検証します。

  2. OCSP応答には、OCSP応答を検証するための証明書が含まれている場合があります。受信した証明書は、SRX シリーズ デバイスに登録されている CA 証明書によって署名されている必要があります。受信した証明書がCA証明書によって検証された後、OCSP応答の検証に使用されます。

OCSP サーバーからの応答は、異なる CA によって署名できます。以下のシナリオがサポートされています。

  • デバイスのエンド エンティティ証明書を発行する CA サーバーも、OCSP 失効ステータス応答に署名します。SRX シリーズ デバイスは、SRX シリーズ デバイスに登録されている CA 証明書を使用して OCSP 応答署名を検証します。OCSP応答が検証された後、証明書の失効ステータスが確認されます。

  • 認証済みレスポンダーが OCSP 失効ステータス応答に署名します。認証済みレスポンダーの証明書と検証済みのエンド エンティティ証明書は、同じ CA から発行する必要があります。認証済みレスポンダーは、SRX シリーズ デバイスに登録されている CA 証明書を使用して最初に検証されます。OCSP応答は、レスポンダのCA証明書を使用して検証されます。次に、SRXシリーズデバイスは、OCSP応答を使用して、エンドエンティティ証明書の失効ステータスを確認します。

  • 検証中のエンドエンティティ証明書とOCSP応答には、異なるCA署名者があります。OCSP応答は、検証中のエンドエンティティ証明書の証明書チェーン内のCAによって署名されます。(IKEネゴシエーションに参加しているすべてのピアは、対応する証明書チェーンに少なくとも1つの共通の信頼できるCAを持っている必要があります。OCSPレスポンダのCAは、証明書チェーンのCAを使用して検証されます。レスポンダ CA 証明書を検証した後、OCSP 応答はレスポンダの CA 証明書を使用して検証されます。

リプレイ攻撃を防ぐために、 OCSP リクエストにノンス ペイロードを送信できます。非送信ペイロードは、明示的に無効にされていない限り、デフォルトで送信されます。有効な場合、SRX シリーズ デバイスは OCSP 応答にノンス ペイロードが含まれることを期待し、それ以外の場合、失効チェックは失敗します。OCSPレスポンダーがノンスペイロードで応答できない場合、SRXシリーズデバイスで非CEペイロードを無効にする必要があります。

通常の業務では、さまざまな理由で証明書が取り消されます。証明書の所有者が会社を去った場合など、証明書が侵害された疑いがある場合は、証明書を取り消すことができます。

証明書の取り消しと検証は、2 つの方法で管理できます。

  • ローカル— これは限定的なソリューションです。

  • 認証機関(CA)の証明書失効リスト(CRL)を参照することで、指定した間隔または CA が設定した既定の間隔で自動的に CRL にアクセスできます。

フェーズ 1 ネゴシエーションでは、SRX シリーズ デバイスは IKE 交換中にピアから受信した EE 証明書を検証し、CRL を使用して EE 証明書が CA によって取り消されないようにします。

デバイスに CRL が読み込まれず、ピア証明書発行者が信頼できる CA である場合。

  1. Junos OS は、CA プロファイルで定義されている場合、構成済みの LDAP または HTTP CRL の場所(つまり、CDP(CRL 配布ポイント)を介して、CRL を取得します。
  2. CA プロファイルで CRL 配布ポイントが設定されていない場合、デバイスは CA によって発行された証明書(存在する場合)で CDP 拡張を使用します。CA によって発行された証明書は、管理者が登録した証明書、またはフェーズ 1 ネゴシエーション中に受信した証明書です。

ルート CA によって EE 証明書が発行されない場合、各中間 CA の証明書は同じ検証および失効チェックを通過します。ルート CA の CRL は、ルート CA によって発行された証明書が取り消されたかどうかを確認するために使用されます。CDP がルート CA プロファイルで設定されていない場合、デバイスは CA によって発行された証明書(存在する場合)で CDP 拡張を使用します。

X509 証明書の CRL 配布ポイント拡張(.cdp)は、HTTP URL または LDAP URL のいずれかに追加できます。

証明書に証明書配布ポイントの拡張機能が含まれていない場合、軽量ディレクトリアクセスプロトコル(LDAP)またはハイパーテキスト転送プロトコル(HTTP)を介して自動的にCRLを取得できない場合は、手動でCRLを取得してデバイスで読み込むことができます。

ローカル証明書は、CRL チェックが無効になっている場合でも、証明書失効リスト(CRL)に対して検証されています。これは、PKI(公開鍵基盤)設定によって、CRL チェックを無効にすることで停止できます。CRL チェックが無効になっている場合、PKI は CRL に対してローカル証明書を検証しません。

オンライン証明書ステータスプロトコルと証明書失効リストの比較

OCSP(オンライン証明書ステータスプロトコル)と証明書失効リスト(CRL)の両方を使用して、証明書の失効ステータスを確認できます。各方法には長所と短所があります。

  • OCSP は証明書のステータスをリアルタイムで提供し、CRL はキャッシュされたデータを使用します。時間の影響を受けやすいアプリケーションでは、OCSP が推奨されるアプローチです。

  • 証明書ステータスの検索はVPNデバイスにキャッシュされた情報で実行されるため、CRLチェックが高速です。OCSP では、外部サーバーから失効ステータスを取得するまでの時間が必要です。

  • CRL では、CRL サーバーから受信した失効リストを格納するために追加のメモリが必要です。OCSP は、証明書の失効ステータスを保存するために追加のメモリを必要としません。

  • OCSP では、OCSP サーバーを常に使用できる必要があります。CRL は、キャッシュされたデータを使用して、サーバーに到達できない場合の証明書の失効ステータスを確認できます。

MX シリーズおよび SRX シリーズ デバイスでは、証明書の失効ステータスの確認に使用される既定の方法は CRL です。

関連項目

例:デバイスへの CRL の手動読み込み

この例では、デバイスに手動で CRL を読み込む方法を示します。

要件

開始する前に、以下を行います。

  1. 公開鍵と秘密鍵のペアを生成します。自己署名デジタル証明書を参照してください。

  2. 証明書要求を生成します。例 : ローカル証明書のCSRを手動で生成し、CAサーバーに送信する

  3. 認証機関(CA)プロファイルを設定します。例 : CA プロファイルの設定

  4. 証明書をデバイスに読み込みます。例 : CA およびローカル証明書を手動で読み込む。

概要

証明書の有効性を確認するときに、手動で CRL を読み込むことも、デバイスに自動的に読み込んでもらうことができます。手動で CRL を読み込むには、CA から CRL を取得してデバイスに転送します(たとえば、FTP を使用)。

この例では、デバイス上の /var/tmp ディレクトリから と呼ばれる revoke.crl CRL 証明書を読み込みます。CA プロファイルは、 と呼ばれます ca-profile-ipsec。(最大ファイル サイズは 5 MB です。

CA プロファイルに既に CRL が読み込まれている場合は、古い CRL をクリアするには、まずコマンド clear security pki crl ca-profile ca-profile-ipsec を実行する必要があります。

設定

手順

手順

手動で CRL 証明書を読み込むには、以下の手順にいます。

  1. CRL 証明書を読み込みます。

    Junos OS は、X509、PKCS #7、DER、または PEM 形式での CA 証明書の読み込みをサポートしています。

検証

設定が正常に機能していることを確認するには、 動作モードコマンドを show security pki crl 入力します。

動的な CRL のダウンロードとチェックについて

デジタル証明書は一定の期間発行され、指定された有効期限後は無効です。CA は、発行された証明書を証明書失効リスト(CRL)に一覧表示することで、取り消すことができます。ピア証明書の検証中に、CA サーバーからローカル デバイスに CRL をダウンロードすることで、ピア証明書の失効ステータスを確認します。

CA プロファイルが構成されていない場合、証明書の CRL チェックを容易にするために、動的 CA プロファイルが作成されます。動的 CA プロファイルは、 の形式 dynamic-nnnでローカル デバイス上で自動的に作成されます。

動的 CA プロファイル:

  • ピアのローカル証明書発行者ごとに、ローカル デバイスが動的 CA および動的 CRL(対応する CA 用)をダウンロードできるようにします。
  • ピアの証明書の失効ステータスを確認します。

VPN デバイスは、ピアの EE 証明書の失効ステータスをチェックします。VPNデバイスは、ピア から受信した証明書を使用して以下を行います。

  • URL を抽出して CA の CRL を動的にダウンロードする
  • ピアの EE 証明書の失効ステータスを確認する

では 図 1、Host-A は、Host-B から受信した Sales-CA および EE 証明書を使用して Sales-CA 用の CRL を動的にダウンロードし、Host-B の証明書の失効ステータスを確認できます。

図 1: 証明書ベース認証のマルチレベル階層 証明書ベース認証のマルチレベル階層

単一の階層 CA サーバーまたは CA 証明書チェーンの場合、同じ CA サーバーからローカル EE 証明書と受信ピア EE 証明書が発行されます。

以下に、さまざまな設定に基づいたSRXシリーズデバイスの動作の一部を示します。

  • trusted-ca または trusted-ca-group で SRX シリーズ デバイスを設定した場合、デバイスは他の CA を検証または信頼しません。
  • SA のチェーンを持つ CA プロファイルを定義した場合、SRX シリーズ デバイスはルート CA のみを信頼し、ピアにはサブ CA によってこのルートに署名された証明書が持つ場合、動的 CA と CRL がデバイスに追加されます。

表 1 動的 CA または CRL が作成されないいくつかのサンプル シナリオを示します。

表 1: シナリオの例

シナリオ

条件

シナリオ 1 の例

CA プロファイルでは、ca-profile-name に対して信頼できる CA を定義し、CA プロファイルで信頼できる CA として定義されていない別の CA によって署名された証明書を持つデバイスから接続を受け取ります。

シナリオ 2 の例

CA のチェーンを持つ CA プロファイルを定義した場合、SRX シリーズ デバイスはサブ CA のみを信頼し、ピアにはこのサブ CA の上のレベルで署名された証明書があります。

動的CAプロファイルを有効にするには、[]階層レベルでルートCAプロファイルで オプションを設定 revocation-check crl するedit security pki ca-profile profile-name必要があります。

ルート CA プロファイルの失効チェック プロパティは、動的 CA プロファイルに対して継承されます。では、ルート CA の Host-A 上の CA プロファイル設定では 図 1、次の出力に示すように、動的 CA プロファイルを有効にします。

Sales-CA の Host-A で動的 CA プロファイルが作成されます。失効チェックは、ルート CA から Sales-CA ダイナミック CA プロファイルに対して継承されます。

ステートメントがrevocation-check disableルート CA プロファイルで構成されている場合、動的 CA プロファイルは作成されず、動的な CRL のダウンロードとチェックは実行されません。

動的 CA プロファイルからダウンロードされた CRL のデータは、 コマンドを使用して show security pki crl 、設定された CA プロファイルによってダウンロードされた CRL と同じ方法で表示されます。動的 CA プロファイルからの CRL は、デバイスで構成されている CA プロファイルの場合と同様に定期的に更新されます。ピア CA 証明書は、CA サーバからダウンロードされた CRL の署名検証にも必要です。

CA 証明書は、CA サーバーから受信した CRL を検証するために必要です。そのため、ピアから受信したCA証明書はローカルデバイスに保存されます。ピアから受信した CA 証明書は、CRL と発行された証明書の検証に使用されます。受信した CA 証明書は管理者によって登録されていないため、ルート CA までの証明書チェーン全体が検証されるまで、証明書の検証が成功した結果は見落とされません。管理者は、ルート CA の証明書を登録する必要があります。

関連項目

例:CRL の場所を使用した認証機関プロファイルの構成

この例では、CRL の場所で認証機関プロファイルを構成する方法を示します。

要件

開始する前に、以下を行います。

  1. デバイスでキーペアを生成します。デジタル認定書をご覧ください。

  2. CA に固有の情報を含む CA プロファイルまたはプロファイルを作成します。例 : CA プロファイルの設定

  3. CA から個人証明書を取得します。例 : ローカル証明書のCSRを手動で生成し、CAサーバーに送信する

  4. 証明書をデバイスに読み込みます。例 : CA およびローカル証明書を手動で読み込む。

  5. 自動再登録を設定します。例 : SecurID ユーザー認証の設定

  6. 必要に応じて、デバイスで証明書の CRL を読み込みます。例 : デバイスへの CRL の手動読み込み。

概要

この例では、と呼ばれる my_profile CA プロファイルの有効性を確認し、CRL が CA 証明書に付随しておらず、デバイスに読み込まれていない場合、デバイスに URL を取得するように指示します http://abc/abc-crl.crl

設定

手順

手順

CRL を使用して証明書を構成するには、

  1. CA プロファイルと URL を指定します。

  2. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 動作モードコマンドを show security pki 入力します。

関連項目

例:証明書の有効性の検証

この例では、証明書の有効性を検証する方法を示しています。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、証明書を手動で検証して、証明書が取り消されたかどうか、またはローカル証明書の作成に使用された CA 証明書がデバイスに存在しなくなるかどうかを確認します。

証明書を手動で検証すると、デバイスはCA証明書()を使用してローカル証明書(ca-certlocal.cert)を検証します。ローカル証明書が有効で、CA プロファイルで有効になっている場合 revocation-check 、デバイスは、CRL が読み込まれ、有効であることを確認します。CRL が読み込まれ、有効でない場合、デバイスは新しい CRL をダウンロードします。

CA発行の証明書またはCA証明書の場合、デバイスの設定でDNSを設定する必要があります。DNS は、ディストリビューションの CRL および ca-profile 構成の CA 証明書/失効リスト url でホストを解決できる必要があります。さらに、チェックを受信するには、同じホストへのネットワーク到達可能性が必要です。

設定

手順

手順

証明書の有効性を手動で検証するには、以下の手順にしたがっています。

  1. ローカル証明書の有効性を検証します。

  2. CA 証明書の有効性を検証します。

    関連付けられた秘密鍵と署名も検証されます。

検証

設定が正常に機能していることを確認するには、 コマンドを show security pki ca-profile 入力します。

正の検証ではなくエラーが返された場合、失敗はpkidで記録されます。

関連項目

読み込まれた CRL の削除(CLI 手順)

証明書の取り消しと検証の管理に使用する必要がなくなった場合は、読み込まれた CRL を削除することを選択できます。

以下のコマンドを使用して、読み込まれた証明書の失効リストを削除します。

プロファイルによって識別された CA に関連付けられた CRL を削除する CA プロファイルを指定するか、すべての CRL の削除に使用 all します。

関連項目

関連項目