取り消しの例

例 1

証明書の検証では、専用 OCSP レスポンダーまたは証明書の AIA エクステンションで指定されている OCSP レスポンダーのいずれかの取り消し情報を使用します。 専用 OCSP レスポンダーを最初に試行し、接続できなかった場合、AIA エクステンションの OCSP レスポンダーが使用されます。 指定した OCSP レスポンダーのどれとも通信できない場合、証明書の検証は失敗します。 専用 OCSP の URL は、127.0.0.1 です。

   GSK_OCSP_URL=http://127.0.0.1
   GSK_OCSP_ENABLE=ON
   GSK_REVOCATION_SECURITY_LEVEL=MEDIUM

例 2

証明書の検証には、証明書内の AIA エクステンションと CDP エクステンションにより提供される取り消し情報が使用されます。 AIA には、使用されるすべての OCSP レスポンダーが含まれており、CDP には、使用されるすべての HTTP サーバーが含まれています。 AIA エクステンション内の OCSP レスポンダーが最初に検査されます。 OCSP レスポンダーと通信できない場合、CDP エクステンション内の HTTP サーバーが使用されます。 OCSP レスポンダーも HTTP サーバーも存在しない場合、またはそのいずれとも通信できない場合、証明書は取り消されていないと見なされます。

   GSK_OCSP_ENABLE=ON
   GSK_HTTP_CDP_ENABLE=ON
   GSK_AIA_CDP_PRIORITY=ON
   GSK_REVOCATION_SECURITY_LEVEL=LOW

例 3

証明書の検証には、専用 OCSP レスポンダーと、証明書内の AIA エクステンションおよび CDP エクステンションにより提供される取り消し情報が使用されます。 取り消しプロバイダーは、以下の順序で検査されます。

1. CDP エクステンション内の HTTP サーバー。
2. AIA エクステンション内の OCSP レスポンダー。
3. 専用 OCSP レスポンダー。

OCSP レスポンダーおよび HTTP サーバーのどれとも通信できない場合、証明書の検証は失敗します。

   GSK_OCSP_URL=http://127.0.0.1
   GSK_OCSP_ENABLE=ON
   GSK_OCSP_URL_PRIORITY=OFF
   GSK_HTTP_CDP_ENABLE=ON
   GSK_AIA_CDP_PRIORITY=OFF
   GSK_REVOCATION_SECURITY_LEVEL=MEDIUM

例 4

証明書の検証には、証明書の CDP エクステンションおよび LDAP サーバーにより提供される取り消し情報が使用されます。 CDP エクステンションが最初に検査され、HTTP サーバーと通信できない場合には、LDAP サーバーが使用されます。 LDAP サーバーが使用される場合、CRL が使用可能でなければなりません。 取り消し情報が取得されない場合、証明書は取り消されたと見なされます。

   GSK_HTTP_CDP_ENABLE=ON
   GSK_LDAP_SERVER=127.0.0.1
   GSK_LDAP_USER=cn=admin
   GSK_LDAP_PASSWORD=secret
   GSK_CRL_SECURITY_LEVEL=HIGH
   GSK_REVOCATION_SECURITY_LEVEL=LOW