5.1.4 証明書の有効性の検証
SSLクライアント認証のときに,クライアント証明書の検証だけでなく,その時点のクライアント証明書の有効性をCRL(Certificate Revocation List)を使用して検証できます。CRLは,検証したいクライアント証明書を発行したCAから入手します。
(1) CRLファイルの形式
- (例)PEM形式のCRL
<Application Serverのインストールディレクトリ>\httpsd\conf\ssl\crl>type crl.pem -----BEGIN X509 CRL----- MIIBGDCBwwIBATANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJKUDERMA8GA1UE CBMIS2FuYWdhd2ExFTATBgNVBAcTDFlva29oYW1hLXNoaTERMA8GA1UEChMITE9D QUwtQ0ExDDAKBgNVBAsTA2NhMTEaMBgGA1UEAxMRY2ExLmhpdGFjaGkuY28uanAX DTAxMDgyOTA0NDIzMFoXDTAxMDgzMDA1NTIzMFowGzAZAghx2Sa8AAAAARcNMDEw ODI4MDQ1MTI5WjANBgkqhkiG9w0BAQQFAANBAJorY7DUJ91uthNlAA+PT6zw6rVo uZLFeYZPNVXgF217YOCtJtKDT+16bR5kgk0p/1xIbgReshjMNTmXPqARNjE= -----END X509 CRL-----
- 注
-
旧バージョンのHTTP ServerでDER形式のCRLを使用していた場合は,PEM形式に変換してください。
(2) HTTP ServerへのCRL適用方法
CRLを使用してクライアント証明書の有効性を検証する場合は,「5.1.3 SSLクライアント認証の準備」に加えて,次の操作をして,Webサーバを再起動してください。
-
CRLの入手
各CAのCRL配布点からCRLファイルを入手し,適切なディレクトリに格納します。
-
httpsd.confの編集(ディレクティブの定義)
CRLを有効にするために,SSLCARevocationCheckディレクティブにleafを指定して,SSLCARevocationFileディレクティブにCRLファイルを設定します。
-
Webサーバを起動または再起動します。
-
既存のCRLを更新する場合には,古いCRLを新規CRLで上書きしたあと,Webサーバを再起動します。
(3) CRLを使用したクライアント証明書検証
CRLを使用したクライアント証明書検証では次の項目を確認します。
-
CRL自体が有効であるかどうか。
-
次回発行日より前かどうか。
-
クライアント証明書のシリアル番号が記載されていないかどうか。
(a) CRLクライアント証明書検証でクライアント証明書が有効と判定される条件
CRLクライアント証明書検証でクライアント証明書が有効と判定される条件には次に示すものがあります。
-
証明書を発行したCAが発行したCRLを読み込んでいない場合。
-
現在時刻がCRLの次回発行日より前であり,かつ該当する接続のクライアント証明書のシリアル番号がCRLに記載されていない場合。
-
現在時刻がCRL発行日よりあとで,次回発行日が指定されてなく,かつCRLに該当する接続のクライアント証明書のシリアル番号が記載されていない場合。
(b) CRLクライアント証明書検証でクライアント証明書が無効と判定される条件
CRLクライアント証明書検証でクライアント証明書が無効と判定される条件には次に示すものがあります。
-
CRLが有効でない場合。
-
該当する接続のクライアント証明書のシリアル番号がCRLに記載されている場合。