証明書の失効
証明書の失効チェックは、セッション・ネゴシエーションの一部として実行される 証明書の検証の 1 フェーズです。証明書チェーンは、証明書が失効していないことを確認するために検証されます。
以下の手順を実行して証明書の失効チェックを行います。
- 証明書失効リスト (CRL) の位置を使用して失効状況をチェックします。
- CRL 位置がディジタル証明書マネージャー (DCM) を通じて構成されている場合、
CRL データベース (LDAP) サーバーに対して、証明書の失効状況を含む CRL についての照会が行われます。
- 証明書が失効している場合、証明書検証の証明書の失効フェーズが完了し、 セッション・ネゴシエーションが失敗します。
- それ以外の場合、証明書の失効処理を継続します。
注: CRL 位置は、ローカルの証明書ストアで各認証局 (CA) に対して個々に構成されます。
- CRL 位置がディジタル証明書マネージャー (DCM) を通じて構成されている場合、
CRL データベース (LDAP) サーバーに対して、証明書の失効状況を含む CRL についての照会が行われます。
- Online Certificate
Status Protocol (OCSP) で失効状況を確認します。
URL と AIA の両方のチェックを有効にすると、レスポンダーが照会される順序は Global Security Kit (GSKit) API 属性である GSK_OCSP_CHECK_AIA_FIRST によって決まります。デフォルトでは、URL レスポンダー・アドレスを先にチェックします。
- OCSP URL レスポンダー・アドレスが構成されている場合、レスポンダーに照会します。
- 証明書が失効している場合、証明書検証の証明書の失効フェーズが完了し、 セッション・ネゴシエーションが失敗します。
- 証明書が有効である場合、証明書検証の証明書の失効フェーズが完了し、証明書検証が続行されます。
- 証明書の失効状況が不確定の場合、証明書の失効処理を続行します。
- AIA チェックが有効で、証明書に HTTP 位置を示す URI を使用する PKIK_AD_OCSP
アクセス方式がある場合、レスポンダーに照会します。
- 証明書が失効している場合、証明書検証の証明書の失効フェーズが完了し、 セッション・ネゴシエーションが失敗します。
- 証明書が有効である場合、証明書検証の証明書の失効フェーズが完了し、証明書検証が続行されます。
- 証明書の失効状況が不確定の場合、証明書検証の証明書の失効フェーズが完了し、 証明書検証が続行されます。
注: 失効状況が不確定の場合、GSKit は失効状況が不確定な 証明書に関する情報を保管し、状況が失効ではないかのように処理を続行します。 アプリケーションは、 gsk_attribute_get_buffer() と属性 GSK_UNKNOWNREVOCATIONSTATUS_SUBJECT を使用して不確定な証明書状況情報を検索し、接続を継続するか終了するかに関する ポリシーを決定します。 - OCSP URL レスポンダー・アドレスが構成されている場合、レスポンダーに照会します。
注: DCM で構成されるアプリケーション定義は、 アプリケーション定義を使用するアプリケーションによって構成される
CRL および OCSP 失効チェックをオーバーライドできます。