OCSPによる失効設定
OCSP(Online Certificate Status Protocol)を利用して証明書の失効を確認します。
OCSPを有効にした場合、デバイス証明書認証が行われるごとに証明書の失効をOCSPサーバに問い合わせます。
【参考】
OCSPのみを有効にした場合、OCSPサーバに正常に接続できない場合にデバイス証明書による認証ができなくなります。
OCSPサーバの不具合などで認証できなくなることを避けたい場合は「CRLによる失効設定」をあわせて有効にしてください。
- 「システム」の「セキュリティの設定」をクリックします。
- 「デバイスの制限」をクリックします。
- 対象のCA証明書チェーンの「証明書の失効設定」をクリックします。
- 「OCSPを有効にする」をクリックします。
内容を変更し、「変更を適用する」をクリックします。
項目 内容 OCSPサーバURL OCSPサーバのURLを入力します Nonce OCSPリクエストにランダムな値を含めることでリプレイ攻撃を防ぎます
OCSPサーバがNonceに対応していない場合は無効にしてください最新の検証ステータス 最新の検証結果を表示します - 検証日時: 検証が行われた日時
- HTTPステータス: OCSPサーバからのHTTP応答のステータスコード
- OCSPステータス: OCSPの検証結果
- good: 証明書は利用可能
- revoked: 証明書は利用不可
- それ以外: 証明書は利用不可(CRLを有効にしている場合は、CRLでの検証に切り替わります)
OCSPサーバ接続の検証 OCSPサーバへの疎通を確認します
OCSPサーバに検証リクエストを送信し、その結果を検証ステータスに表示します