証明書失効リスト(CRL)は、CAが証明書の期限が切れる前に失効させることを決定した証明書についてCAがユーザーに通知するために発行するリストです。CRLは定期的に更新され、更新されたCRLはCAのWebサイトからダウンロードできます。
Oracle Traffic Directorサーバーが、CAが失効させた証明書を信頼しないようにするために、最新のCRLをCAから定期的にダウンロードし、Oracle Traffic Director構成にインストールしておく必要があります。
CRLは手動でインストールできます。また、ダウンロード済のCRLを指定したディレクトリから指定の間隔で自動的に取得しインストールするようにOracle Traffic Directorを構成できます。
この項には次のトピックが含まれます:
注意:
|
管理コンソールまたはCLIのいずれかを使用して、CRLを手動でインストールおよび削除できます。
管理コンソールを使用したCRLの手動によるインストール
管理コンソールを使用してダウンロード済のCRLをインストールするには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
証明書をインストールする構成を選択します。
ナビゲーション・ペインで、「SSL」を展開し、「認証局を選択します。
「CRLのインストール」ボタンをクリックします。
「証明書失効リストのインストール」ダイアログ・ボックスが表示されます。
ダウンロードしたCRLファイルの場所を指定し、「CRLのインストール」をクリックします。
CRLのインストールが成功したことを確認するメッセージが、「コンソール・メッセージ」ペインに表示されます。
インストールしたCRLは、「認証局」ページに表示されます。
さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。
CLIを使用したCRLの手動によるインストールおよび削除
ダウンロードしたCRLをインストールするには、次の例に示すように、install-crl
コマンドを実行します。
tadm> install-crl --config=soa /home/admin/crls/ServerSign.crl
OTD-70201 Command 'install-crl' ran successfully.
構成にインストールされたCRLのリストを表示するには、次の例に示すようにlist-crls
コマンドを実行します。
tadm> list-crls --config=soa --verbose --all
crl-name next-update
---------------------------
"Class 1 Public Primary Certification Authority" "Sat Apr 15 16:59:59 PDT 2000"
"VeriSign Class 3 Code Signing 2010 CA" "Mon Aug 29 14:00:03 PDT 2011"
"VeriSign Class 3 Organizational CA" "Sun May 18 13:48:16 PDT 2014"
CRLを削除するには、次の例に示すように、delete-crl
コマンドを実行します。
tadm> delete-crl --config=config1 "VeriSign Class 3 Organizational CA"
OTD-70201 Command 'delete-crl' ran successfully.
CRLを削除すると、CRLはOracle Traffic Director構成、およびダウンロードされたCRLが格納されているディレクトリから削除されます。
更新された構成を有効にするには、deploy-config
コマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--help
オプションを付けてコマンドを実行してください。
管理コンソールまたはCLIのいずれかを使用して、ダウンロード済のCRLファイルを指定したディレクトリから定期的に取得し自動的にインストールするようにOracle Traffic Directorを構成できます。
Oracle Traffic Directorは、指定されたディレクトリ上の更新されたCRLファイルを、指定された間隔で検索します。
Oracle Traffic Directorは、新しいCRLファイルを検出した場合、そのファイルを構成にインストールし、サーバー・ログにメッセージを記録します。
既存のCRLファイルが変更された場合、Oracle Traffic Directorは、更新されたCRLファイルを構成にインストールし、サーバー・ログにメッセージを記録します。
Oracle Traffic Directorが、前にインストール済のCRLファイルがディレクトリから削除されていることを検出すると、構成からCRLを削除し、サーバー・ログにメッセージを記録します。
CRLディレクトリで変更が検出されない場合、Oracle Traffic Directorは更新を実行しません。
管理コンソールを使用したOracle Traffic DirectorにおけるCRLの自動インストールの構成
管理コンソールを使用して、CRLを自動的にインストールするようにOracle Traffic Directorを構成するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅にある「構成」ボタンをクリックします。
使用可能な構成のリストが表示されます。
CRLを自動的にインストールするように設定する構成の名前をクリックします。
ナビゲーション・ペインで、「SSL」を選択します。
「SSL設定」ページが表示されます。
ページの「詳細設定」セクションに移動します。
「CRLパスの更新」フィールドに、更新されたCRLファイルを含むディレクトリへの絶対パスを入力します。
「新規イベント」をクリックします。
「新規CRL更新イベント」ダイアログ・ボックスが表示されます。
CRLを更新する間隔または時刻を指定し、「OK」をクリックします。
イベントの作成を確認するメッセージが、「コンソール・メッセージ」ペインに表示されます。
新規イベントが「CRL更新イベント」リストに表示されます。
新しいイベントはデフォルトで有効になっています。ステータスを変更するには、「有効化/無効化」チェック・ボックスを選択します。
イベントを削除するには、「削除」ボタンをクリックします。
さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。
CLIを使用したOracle Traffic DirectorにおけるCRLの自動インストールの構成
CRLを自動的にインストールするようにOracle Traffic Directorを構成するには、次の操作を行います。
set-pkcs11-prop
コマンドを使用して、ダウンロードされたCRLが格納されるディレクトリを指定します。
たとえば、次のコマンドでは、/home/admin/crls
が、ダウンロードされたCRLが格納されるディレクトリとして指定されています。
tadm> set-pkcs11-prop --config=soa crl-path=/home/admin/crls
OTD-70201 Command 'set-pkcs11-prop' ran successfully.
create-event
コマンドを使用して、Oracle Traffic Directorが、ダウンロードされたCRLを指定されたディレクトリから取得し、自動的にインストールするイベントをスケジュールします。
たとえば、次のコマンドでは、構成soa
のCRLは86400秒(1日)ごとに更新されます
tadm> create-event --config=soa --command=update-crl --interval=604800
OTD-70201 Command 'create-event' ran successfully.
更新された構成を有効にするには、deploy-config
コマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。
この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--help
オプションを付けてコマンドを実行してください。