証明書取消しの確認の設定
Reflection SSL/TLS 接続と Secure Shell 接続では、電子証明書を使用したホスト認証を構成できます。失効していない証明書を確実に使用するには、CRL または OCSP レスポンダを使用して証明書の取り消しを確認するように Reflection を構成します。
Reflection で CRL の確認が有効になっている場合は、証明書の CRL Distribution Point (CDP) フィールドに指定されているすべての場所で CRL が必ず確認されます。また、LDAP ディレクトリにある CRL を確認したり、OCSP レスポンダを使用するように Reflection を構成することもできます。
Reflection では、証明書取消しの確認の既定値は現在のシステム設定に基づいて決まります。システムが CRL の確認を行うように設定されている場合は、既定ですべての Reflection セッションにおいて CRL を使用して証明書取消しが確認されます。
メモ
Reflectionが DOD PKIモードで実行されている場合、証明書取り消しは常に有効であり、無効にすることはできません。
すべての SSH セッションで CRL の確認を有効にするには
-
Internet Explorer で [ツール] - [インターネットオプション] - [詳細設定] を選択します。
-
[セキュリティ] の下の [サーバ証明書の取り消しを確認する] をオンにします。
Reflection では、CRL または OCSP レスポンダを使用した証明書取り消し確認を行えます。
Secure Shellセッション (FTPクライアントおよびSSH端末セッション) のCRL確認を有効にするには
-
[Reflection Secure Shell の設定] ダイアログボックスを開きます。
-
[PKI] タブをクリックします。
-
[Use OCSP(OCSPを使用)] または [Use CRL(CRLを使用)] をオンにします。
SSL/TLSセッション(FTPクライアントのみ)のCRL確認を有効にするには
-
[セキュリティのプロパティ] ダイアログボックスを開きます。
-
[SSL/TLS] タブで [PKI の構成] をクリックします([SSL/TLS セキュリティを使用する] がオンになっている必要があります)。
-
[OCSP を使用する] または [CRL を使用する] をオンにします。
メモ
証明書で必要なCRLレスポンダおよびOCSPレスポンダは、証明書のAIA拡張およびCDP拡張に指定されます。この情報が証明書で提供されない場合は、[Reflection証明書マネージャ]の[OCSP]タブおよび[LDAP]タブを構成のために使用します。