OCSP を SonicWALL ネットワークセキュリティ装置で使用

OCSP を SonicWALL ネットワークセキュリティ装置で使用

OCSP は、PKI (Public Key Infrastructure) またはデジタル証明書システムで CRL を拡張または置換できるように設計されています。CRL は、PKI によって構成されたデジタル証明書の検証に使用されます。これにより、CA (証明書認証機関) は、予定された有効期限になる前に証明書を取り消します。これは、盗まれた証明書や無効な証明書に対して PKIを保護する場合に有用です。

証明書失効リストの主な短所は、各クライアントの CRL を最新にしておくためにアップデートを頻繁に行うことが必要な点です。頻繁なアップデートが必要になると、各クライアントで完全な CRL がダウンロードされるときにネットワークトラフィックが増大します。CRL アップデートの頻度によっては、CRLによって証明書が取り消された時点でクライアントが CRL アップデートおよび証明書の使用の許可をまだ入手していないという状態が、一定の期間にわたって発生することがあります。

Online Certificate Status Protocol は、CRL を使用せずにデジタル証明書の現在の状況を判断します。OCSP は、識別されたデジタル証明書の状況をクライアントまたはアプリケーションが直接判断できるようにします。これにより、CRL 証明書に関する情報を CRL の場合よりも適切なタイミングで提供できます。さらに、通常は各クライアントがいくつかの証明書を確認するだけなので、いくつかのエントリのために CRL 全体をダウンロードしてもオーバーヘッドは発生しません。その結果、証明書の検証に関連するネットワークトラフィックが大幅に減少します。

OCSP は、既存のネットワークとの互換性を最大化するためにメッセージを HTTP 経由で転送します。そのため、OCSP 応答のキャッシュされたコピー (期限切れの可能性がある) を受け取らないように、ネットワーク内のキャッシュサーバを慎重に設定する必要があります。

OCSP クライアントは、OCSP レスポンダでやり取りします。OCSP レスポンダは、CA サーバまたは CA とやり取りして証明書状況を判断できる他のサーバにすることができます。OCSP クライアントは、OCSP レスポンダに状況要求を発行し、レスポンダから応答があるまで証明書の受け入れを保留します。クライアント要求には、プロトコルバージョン、サービス要求、ターゲット証明書 ID、オプションの拡張機能などのデータが含まれています。オプションの拡張は、OCSP レスポンダによって承認されない場合もあります。

OCSP レスポンダは、クライアントから要求を受け取ると、メッセージが適切な形式であることを確認し、レスポンダがサービス要求に応答できるかどうかを検証します。次に、要求の中に目的のサービスに必要な情報が正しく含まれているかを確認します。すべての条件が満たされると、レスポンダはOCSP クライアントに最終的な応答を返します。OCSP レスポンダは、基本的な応答 (GOOD、REVOKED、または UNKNOWN) を提供する必要があります。OCSP クライアントとレスポンダが両方ともオプションの拡張をサポートしている場合は、他の応答も可能です。GOOD 状態は、証明書が取り消されていないことを示す、期待されている応答です。REVOKED 状態は、証明書が取り消されたことを示します。UNKNOWN 状態は、レスポンダが対象となる証明書に関する情報を持っていないことを示します。

OCSP サーバは、通常、プッシュまたはプル設定で CA サーバと連携して動作します。CRL リスト (証明書失効リスト) を OCSP サーバにプッシュするように CA サーバを設定できます。さらに、OCSP サーバは、CA サーバから CRL を周期的にダウンロード (プル) するように設定できます。OCSP サーバは、CA サーバで発行された OCSP 応答署名証明書によって設定することもできます。署名証明書は適切な形式である必要があります。そうでない場合、OCSP クライアントは OSCPサーバからの応答を受け入れません。

OpenCA OCSP Responder

OCSP を使用するには、サポートされている唯一の OCSP レスポンダである、OpenCA (オープンソース証明書認証機関) の OpenCA OCSP Responder が必要です。OpenCA OCSP Responder は、http://www.openca.org で入手できます。OpenCA OCSP Responderは、rfc2560 に準拠した OCSP レスポンダであり、既定のポート 2560 (rfc2560 に基づくことを示す) で動作します。

OCSP で使用する証明書のロード

SonicOS がレスポンダに対して OCSP クライアントとして動作するように設定する場合は、CA 証明書を SonicWALL にロードする必要があります。

1

「システム > 証明書」ページで、「インポート」ボタンを選択します。「証明書のインポート」ページが表示されます。

2

「PKCS#7 (.p7b)、PEM (.pem)、DER (.der か .cer) エンコードファイルから、CA 証明書をインポートする」オプションを選択し、証明書の場所を指定します。

OCSP で VPN ポリシーを使用

SonicWALL OCSP 設定は、ポリシーレベルで、またはグローバルに設定できます。個別の VPN ポリシーで OCSP 確認を設定するには、「VPN ポリシー」設定ページの「詳細」タブを使用します。

1

「OCSP 確認を有効にする」の隣にあるラジオボタンを選択します。

2

OCSP サーバの「OCSP 確認用 URL」を指定します。例えば、http://192.168.168.220:2560 とした場合、"192.168.168.220" は OCSP サーバの IP アドレスで、"2560" は OpenCA OCSP レスポンダサービスの動作の既定ポートです。