証明書失効を管理する

  • 14 分

証明書のライフサイクルの管理の一環として、発行を制御するだけでなく、使用状況を追跡し、必要に応じて失効を強制する必要もあります。 これは、証明書ベースのセキュリティが侵害される可能性を軽減し、修復するために不可欠です。

証明書失効とは

失効とは、1 つまたは複数の証明書の有効性を無効にするプロセスです。 失効プロセスを開始するには、対応する CRL で証明書のサムプリントを発行します。 これは、特定の証明書がもはや有効ではなくなったことを示します。

重要

すべての証明書には独自の有効期間があり、それが過ぎると有効と見なされなくなります。 失効を使用すると、たとえば侵害された証明書を修正するために、その期間が過ぎる前に証明書を無効にすることができます。

証明書の失効に焦点を当てた、CA のライフサイクルの複数の段階。

失効プロセスは、通常、次の一連の手順から構成されます。

  1. 証明書を失効させ、その理由と、目標とする日付と時刻を指定します。 このタスクは、CA コンソールから実行できます。
  2. CRL を公開します。 CA コンソールから公開をトリガーしたり、定期的に自動公開をスケジュールしたりするためのオプションがあります。 AD DS、共有フォルダー、または Web サイトで CRL を公開できます。
  3. オペレーティング システム、アプリケーション、またはサービスで、証明書の使用に関わるセキュリティで保護されたアクションが開始されると、発行元の CA および対応する CDP の場所に対してクエリが実行され、その証明書の失効状態の自動チェックがトリガーされます。 このプロセスでは、証明書が失効しているかどうかを確認します。

重要

証明書の失効状態の自動チェックのサポートは、オペレーティング システム、アプリケーション、またはサービスがどのように実装されたかによって異なります。 最新の市販ソフトウェアでは、この機能がサポートされています。

Windows オペレーティング システムには CryptoAPI が含まれており、これが証明書の失効と状態チェックのプロセスを担当します。 CryptoAPI では、証明書チェック プロセスで次のフェーズを使用します。

  • 証明書の検出。 証明書の検出では、CA 証明書、発行された証明書の AIA 情報、証明書の登録プロセスの詳細を収集します。
  • パスの検証。 パスの検証とは、ルート CA 証明書に到達するまで、CA チェーン、つまりパス全体で証明書を検証するプロセスです。
  • 失効確認。 証明書チェーン内の各証明書は、失効している証明書がないことを確認するために検証されます。
  • ネットワークの取得とキャッシュ。 ネットワークの取得は、OCSP を使用して実行されます。 CryptoAPI は、最初にローカル キャッシュの失効情報を確認し、一致するものがない場合は、発行された証明書が提供する URL に基づく OCSP を使用して呼び出しを行うという役割を担います。

オンライン レスポンダー サービスとは

オンライン レスポンダー サービスでは、証明書の失効状態をより効率的に確認する方法を提供します。 オンライン レスポンダー サービスでは、OCSP を利用して証明書の失効状態を判断します。 OCSP では、HTTP を使用して証明書の状態要求を送信します。

クライアントでは CRL にアクセスして、証明書の失効状態を確認します。 CRL は大きくなることがあり、クライアントでこれらの CRL を検索するのにかなりの時間がかかることがあります。 オンライン レスポンダー サービスでは、クライアントに代わってこれらの CRL を動的に検索し、要求された証明書の状態をクライアントに応答することができます。 1 つのオンライン レスポンダーを使用して、単一の CA または複数の CA によって発行された証明書の失効状態情報を判断できます。 また、複数のオンライン レスポンダーを実装して、CA の失効要求を分散させることもできます。

発行された証明書の AIA 拡張機能にオンライン レスポンダーの URL を含めるように、CA を構成する必要があります。 OCSP クライアントでは、この URL を使用して証明書の状態を検証します。 また、OCSP 応答の署名証明書テンプレートを発行する必要があります。これにより、オンライン レスポンダーでその証明書を登録できるようになります。

デモンストレーション

次のビデオは、以下の方法を示しています。

  • CRL の発行を構成します。
  • CDP の場所を構成します。

このプロセスの主な手順は次のとおりです。

  1. AD DS 環境を作成します。 単一ドメインの AD DS フォレストを作成します。
  2. エンタープライズ ルート CA をデプロイします。
  3. CRL の発行を構成します。 証明機関コンソールを使用して CRL 発行を構成します。
  4. CDP の場所を構成します。 証明機関コンソールを使用して CDP の場所を構成します。

自分の知識をチェックする

1.

証明機関コンソールを使用して CRL をファイル共有に公開するには何が必要ですか?