プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理
12c (12.2.1.3.0)
E90347-05
目次へ移動
目次

前
次

40 X.509証明書失効チェック

WebLogic ServerのJSSE実装でサポートされるX.509証明書失効(CR)チェック機能について学びます。この機能によって、SSL証明書パス検証プロセスの一部として、証明書の失効ステータスがチェックされます。CRチェックによって、受け取った証明書が発行元の認証局によって失効されていないことが保証され、証明書の使用におけるセキュリティが向上します。

証明書失効チェックの概要

WebLogic Serverでは、クライアント証明書の検証(インバウンドSSL)やサーバー証明書の検証(アウトバウンドSSL)などの目的で証明書失効(CR)チェックを使用できます。

WebLogic ServerのCRチェック・メカニズムには、次の機能があります。

  • 次の証明書失効方法のサポート

    • Online Certificate Status Protocol (OCSP)

    • 証明書失効リスト(CRL)

  • ドメイン規模ですべての認証局(CA)に対してCRチェックを構成できます。必要に応じて、特定のCAに対して認証局オーバーライドを構成することもできます。

    認証局オーバーライドには、特定のCAにより発行された証明書に対して有効にする、ドメイン規模のCRチェック構成への変更が含まれます。たとえば、特定のOCSP応答者URLを使用するように構成したり、証明書失効ステータスを特定できない場合にSSL証明書パス検証が失敗するように指定できます。作成する各認証局オーバーライドは、特定の1つのCAにのみ適用されます。

WebLogic Serverでは、CRチェックはデフォルトで無効です。ただし、WebLogic Server管理コンソールまたはWLSTを使用して、CRチェックを有効にし、後続の項で説明するプロパティを構成できます。

注意:

WebLogic ServerインスタンスでCRチェックが使用できるのは、JSSEが有効な場合のみです。

デフォルトのCRチェック構成の有効化

WebLogic Serverでは、CRチェックはデフォルトで無効です。CRチェックを有効にすると、WebLogic Serverはドメイン規模で、検証する各証明書の現在の失効ステータスを取得する包括的なメカニズムを提供します。

ここでは、CRチェックを有効にした場合のWebLogic Serverのデフォルトの動作について説明します。後続の項では、ドメイン規模または選択的に特定の認証局に対して適用できるカスタマイズについて説明します。

デフォルトのCRチェック構成が有効な場合、WebLogic ServerはSSL証明書パスの検証時に自動的に次のことを行います。

  1. OCSPレスポンス・ローカル・キャッシュをチェックして証明書失効ステータスを取得します。OCSPレスポンス・ローカル・キャッシュは、OCSP応答者により提供される最新の証明書ステータスを保持するインメモリー・キャッシュです。

    OCSPの証明書ステータスには特定の有効期間があります。証明書ステータスの期限が切れると、WebLogic Serverは次のことを行います。

    1. 証明書からOCSP応答者URIを取得します。このURIは、証明書のAuthority Information Access (AIA)値に含まれます。このAIAは、証明書の発行者から情報およびサービスにアクセスする方法を示します。

    2. OCSP応答者にOCSPリクエストを送信します。

      OCSP応答者はOCSPレスポンスを返します。レスポンスにはgoodrevokedまたはunknownの証明書ステータスが含まれます。

    3. OCSPレスポンス・ローカル・キャッシュをOCSPレスポンスで更新します。

    OCSPレスポンス・ローカル・キャッシュにおいて有効で期限内のエントリのある証明書の場合、WebLogic Serverは新しいOCSPレスポンスをリクエストするかわりに、キャッシュからその失効ステータスを取得できます。これにより、パフォーマンスが向上し、ネットワーク帯域幅の使用量が削減されます。

    注意:

    次の点に注意してください。

    • キャッシュされたエントリはOCSP有効期間に基づいて失効しますが、キャッシュ動作はカスタマイズできます。

    • OCSP nonceが有効な場合、ローカルのOCSPレスポンス・キャッシュは使用されません。これにより、最新のレスポンスが保証されます。

  2. 証明書のOCSPステータスがunknownの場合、WebLogic Serverは、CRLローカル・キャッシュで有効なCRLをチェックし、証明書が失効しているかどうかを判断します(OCSPでrevokedまたはnot revokedのステータスが特定されると、CRLはその証明書で使用されません)。

    デフォルトで、CRLローカル・キャッシュは、WebLogicドメイン内の各サーバー・インスタンスで維持され、CRL配布ポイントから必要に応じて更新されるファイルベース・ストアです。CRL配布ポイントは、ダウンロード用にCRLを提供するネットワーク・アクセスが可能なサーバーです。

    CRLローカル・キャッシュに有効なCRLがない場合、WebLogic Serverは次のことを行います。

    1. 証明書のCRLDistributionPoints拡張に含まれるCRL配布ポイントURLを取得します。

    2. CRL配布ポイントURLを使用して、新しいCRLをダウンロードし、キャッシュに追加します。

    3. CRLでその証明書に対応するエントリを検索します。

    発行者からのCRLに証明書のシリアル番号がない場合、証明書ステータスはnot revokedに設定されます。

次の点に注意してください。

  • 証明書にrevokedのOCSPステータスがあるか、証明書が有効なCRLに含まれている場合、WebLogic Serverでは自動的にSSL証明書パス検証が失敗します。

  • OCSPを使用して使用可能なCRLをチェックした後、失効ステータスが不明または特定できない場合、デフォルトでは証明書パス検証は失敗しません

次のトピックでは、デフォルトのCRチェックを構成およびカスタマイズする方法について説明しています。

デフォルトのCRチェックの構成

WebLogicドメインでのデフォルトのCRチェック機能の有効化は、次のMBean属性より行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.CheckingEnabled

CRチェックがドメイン規模で有効かどうかを指定します。

False

WebLogic Server管理コンソールを使用してWebLogicドメインのCRチェックを有効にする方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメインでの証明書失効チェックの有効化に関する項を参照してください。

「認証局オーバーライドの構成」の説明に従って、このMBean属性に対してCAオーバーライドを構成できます。

CRチェック構成のカスタマイズ

WebLogic ServerのデフォルトのCRチェック動作は、CRチェックが望まれるが必須ではないデプロイメント環境に適しています。環境によって、CRチェックを必要としたり、特定の認証局に固有の動作をさせることが必要な場合があります。表40-1は、WebLogic ServerでCRチェックに対して行うことができるカスタマイズのタイプを一覧形式でまとめ、それらについて説明している各項へのリンクを示しています。

表40-1 CRチェック構成に対して行うことができるカスタマイズ

カスタマイズ 説明

CRチェック方法の順序

サポートされるCRチェック方法(OCSPとCRL)が使用される順序を指定します。必要に応じて、OCSPのみまたはCRLのみを使用するよう選択できます。「WebLogic Serverで使用するCRチェック方法の選択」を参照してください。

証明書失効ステータスの必要性

証明書の失効ステータスが不明または特定できない場合、SSL証明書パス検証は失敗する必要があることを指定します。「失効ステータスが特定できない場合のSSL証明書パス検証の失敗」を参照してください。

ドメイン規模のOCSP設定

次のOCSP機能または動作のうち1つ以上をドメイン規模でカスタマイズします。

  • OCSPのリクエストおよびレスポンスでのNonceの使用

  • OCSPレスポンス・キャッシュ。たとえば、容量、リフレッシュ期間など。

  • OCSPレスポンスのタイムアウト時間設定

「Online Certificate Status Protocolの使用」を参照してください。

ドメイン規模のCRLプロトコル設定

次のCRL機能または動作のうち1つ以上をドメイン規模でカスタマイズします。

  • CRL配布ポイントの使用

  • CRLキャッシュのリフレッシュ頻度

  • CRL配布ポイントのダウンロード・タイムアウト時間設定

「証明書失効リストの使用」を参照してください。

認証局オーバーライド

特定のCAにより発行された証明書に対し、CRチェック動作をカスタマイズします。例:

  • これらの証明書に対する失効チェックの無効化

  • CRチェック方法の順序の変更

  • 失効ステータスが不明または使用できない場合の証明書パス検証の自動的な失敗

  • OCSPまたはCRL設定のカスタマイズ(CRLローカル・キャッシュ設定を除く)

  • 使用するOCSP応答者URLの指定

  • 使用するCRL配布ポイントURLの指定

認証局オーバーライドは、常に既存のドメイン規模の設定より優先されます。「認証局オーバーライドの構成」を参照してください。

WebLogic Serverで使用するCRチェック方法の選択

デフォルトでは、証明書の失効ステータスをチェックする際、WebLogic Serverは最初にOnline Certificate Status Protocol (OCSP)を使用します。OCSPが証明書ステータスをunknownとして返すと、WebLogic ServerはCRLを使用します。ただし、CertRevocMBean.MethodOrder MBean属性を使用すると、WebLogicドメインのCRチェック方法および順序を変更できます。

使用するCRチェック方法またはその方法の使用順序は、次のいずれかに変更できます。

  • OCSPのみ

  • CRLのみ

  • OCSP、CRLの順 - 証明書のOCSPステータスがunknownとして返されると、CRLで証明書ステータスがチェックされます。

  • CRL、OCSPの順 - 使用可能なCRLのチェックで証明書の失効ステータスが特定できない場合、OCSPのステータスがチェックされます。

WebLogicドメインのCRチェック方法および順序の構成は、次のMBean属性より行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.MethodOrder

ドメイン規模のCRチェック方法を指定します。

OCSP_THEN_CRL

「認証局オーバーライドの構成」の説明に従って、このMBean属性に対してCAオーバーライドを構成できます。

WebLogic Server管理コンソールを使用してWebLogicドメインのCRチェック方法および順序を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメインでの証明書失効チェックの有効化に関する項を参照してください。

失効ステータスを特定できない場合のSSL証明書パス検証の失敗

デフォルトでは、X.509証明書の失効ステータスが選択したチェック方法で特定できない場合でも、SSL証明書パス検証が成功すれば、証明書を受け入れることができます。ただし、失効ステータスを特定できない証明書については、証明書パス検証が失敗するようにWebLogic Serverを構成することもできます。

失効ステータスを特定できない場合にSSL証明書パス検証が失敗するようなWebLogicドメインの構成は、次のMBean属性より行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.FailOnUnknownRevocStatus

失効ステータスが特定できない場合に証明書のパス検証が失敗するかどうかをドメイン規模で指定します。

False

「認証局オーバーライドの構成」の説明に従って、このMBean属性に対してCAオーバーライドを構成できます。

WebLogic Server管理コンソールを使用してこのMBean属性を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメインでの証明書失効チェックの有効化に関する項を参照してください。

Online Certificate Status Protocolの使用

Online Certificate Status Protocol (OCSP)は、RFC 2560で定義されている自動証明書チェック・ネットワーク・プロトコルです。

証明書検証の一部として、WebLogic ServerはOCSP応答者OCSPリクエストを発行することにより、証明書の失効ステータスを問い合せます。証明書ステータスはOCSP応答者により保持されます。証明書の受入れは、証明書が今もなお発行元のCAにより信頼されているかどうかを示すOCSPレスポンスを応答者が返すまで保留されます。

OCSPは、CRLよりタイムリーな失効情報の提供という運用上の要件を満たすために使用されたり、追加のステータス情報を取得するために使用される場合があります。OCSPの詳細は、RFC 2560(http://www.ietf.org/rfc/rfc2560.txt)の説明を参照してください。

次の項では、WebLogic ServerでOCSPを構成する方法について説明します。

OCSPリクエストでのNonceの使用

Nonceは、OCSPリクエストに含まれている場合に新しいレスポンスを強制する(事前に署名されたレスポンスは拒否される)乱数です。Nonceを使用することで、反射攻撃を防止できます。デフォルトでは、WebLogic ServerはOCSPリクエストにNonceを含めません

ただし、OCSPでNonceを使用するようにWebLogic Serverが構成されている場合、次のようになります。

  1. WebLogic Serverは、各OCSPリクエストに対してNonceを生成し、これをリクエストの拡張内に含めます。

  2. 署名されたOCSPレスポンスは、レスポンスの拡張内に含められるものと同じNonceを含む必要があります。

WebLogicドメインでOCSP Nonceを使用する構成は、次のMBean属性を使用して行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.OcspNonceEnabled

OCSPリクエストに対してNonceを生成するかどうかを指定します。この設定はドメイン規模で行われます。

false

このMBean属性に対し、CAオーバーライドを構成することもできます。「認証局オーバーライドのOCSPプロパティの構成」を参照してください。

WebLogic Server管理コンソールを使用してOCSP nonceを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメイン規模のOCSP設定の構成に関する項を参照してください。

レスポンス・タイムアウト時間の設定

レスポンス・タイムアウト時間は、OCSPレスポンスの待機時間を制限します。タイムアウト時間の設定により、ブロックされるスレッドを最小限に抑え、サービス拒否攻撃に対するシステムの脆弱性も軽減できます。レスポンス・タイムアウト時間の設定に加え、WebLogic ServerとOCSP応答者間のクロック・スキュー差を処理するための許容時間値も構成できます。

デフォルトのレスポンス・タイムアウト時間は10秒、許容時間は0です。レスポンス・タイムアウト時間および許容時間の値は、ドメイン規模で設定することも、必要に応じて1つ以上のCAに対してのみに設定することもできます。

WebLogicドメインのOCSPレスポンス・タイムアウト時間および許容時間値の構成は、次のMBean属性を使用して行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.OcspResponseTimeout

OCSPレスポンスに対し、ドメイン規模のタイムアウト時間を秒単位で指定します。有効範囲は1 - 300です。

10
CertRevocMBean.OcspTimeTolerance

OCSPレスポンスに対し、ドメイン規模のOCSP許容時間値を秒単位で指定します。

0

これらのMBean属性に対し、CAオーバーライドを構成することもできます。「認証局オーバーライドのOCSPプロパティの構成」を参照してください。

WebLogic Server管理コンソールを使用してOCSPレスポンス・タイムアウト時間および許容時間の値を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメイン規模のOCSP設定の構成に関する項を参照してください。

OCSPレスポンス・ローカル・キャッシュの有効化および構成

パフォーマンスを最適化し、ネットワークの帯域幅を削減するため、WebLogic ServerのOCSP実装はデフォルトで、OCSPレスポンス・ローカル・キャッシュと呼ばれるOCSPレスポンスを保持するためのローカル・インメモリー・キャッシュを使用するように構成されます。キャッシュされたエントリは、OCSP有効期間やその他の条件(アクセスが最も少ないエントリなど)に基づいて、自動的に失効します。Nonceが有効な場合、Nonceを使用して取得されたOCSPレスポンスはキャッシュされません。これにより、Nonceとともに最新のレスポンスが常に使用されます。

WebLogicドメインでのOCSPレスポンス・ローカル・キャッシュの構成は、次のMBean属性を使用して行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.OcspResponseCacheEnabled

OCSPレスポンス・ローカル・キャッシュが有効かどうかをドメイン規模で指定します。

true
CertRevocMBean.OcspResponseCacheCapacity

OCSPレスポンス・ローカル・キャッシュでサポートされる最大エントリ数を指定します。

1024
CertRevocMBean.OcspResponseCacheRefreshPeriodPercent

OCSPレスポンス・ローカル・キャッシュのリフレッシュ期間をレスポンスの有効期間のパーセンテージで指定します。たとえば、有効期間が10時間の場合、10%という値は1時間後にキャッシュされたレスポンスが失効し、新しいレスポンスが必要になることを示します。

100

このMBean属性に対してCAオーバーライドを構成することもできます。「認証局オーバーライドのOCSPプロパティの構成」を参照してください。

WebLogic Server管理コンソールを使用してOCSPレスポンス・ローカル・キャッシュを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメイン規模のOCSP設定の構成に関する項を参照してください。

証明書失効リストの使用

証明書失効リスト(CRL)は、発行元の認証局(CA)により無効にされたデジタル証明書のタイムスタンプ付きリストです。各CRLはCAにより署名され、パブリック・リポジトリで使用可能になります。WebLogic ServerのCRL実装では、より効率的なCRチェックのためのCRLローカル・キャッシュ、ユーザーのCRLファイルの自動インポート、キャッシュの移入およびリフレッシュができる配布ポイントが提供されます。

WebLogic ServerのCRL実装には、次のサポートが含まれます。

  • CRLローカル・キャッシュ。これによりCRチェックで効果的なアクセスが可能となります。

  • ユーザーが提供したCRLファイルのCRLキャッシュへの自動インポート。

  • 必要に応じてCRLキャッシュの移入およびリフレッシュができる配布ポイントの使用。

次の項では、WebLogic ServerでCRLの使用を構成する方法について説明します。

配布ポイントからの更新の有効化

配布ポイントからのCRLの更新は、デフォルトで有効です。有効化されている証明書の適切なCRLが常にローカル・キャッシュに存在しない場合、そのCRLは使用可能な配布ポイントからダウンロードされます。

WebLogic Serverでは、配布ポイントからのCRLダウンロードのタイムアウト時間を構成することもできます。タイムアウト時間は、CRLダウンロードの待機時間を制限し、ブロックされるスレッドのリスクやサービス拒否攻撃に対する脆弱性を最小限に抑えます。CRLダウンロードがタイムアウトすると、CRLメソッドでは失効ステータスが不明であると報告します。ただし、CRLダウンロードは別のスレッドで完了するまで継続され、そのCRLは将来のCRLチェックで使用可能となります。

WebLogicドメインのCRL配布ポイントの構成は、次のMBean属性を使用して行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.CrlDpEnabled

CRL配布ポイントがドメイン規模で有効かどうかを指定します。

true
CertRevocMBean.CrlDpDownloadTimeout

配布ポイントCRLダウンロードに対し、全体のタイムアウト時間(秒単位)をドメイン規模で指定します。有効範囲は1 - 300です。

10

これらのMBean属性に対し、CAオーバーライドを構成することもできます。「認証局オーバーライドのCRLプロパティの構成」を参照してください。

WebLogic Server管理コンソールを使用してWebLogicドメインのCRL配布ポイントを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメイン規模のCRL設定の構成に関する項を参照してください。

CRLローカル・キャッシュの構成

WebLogic Serverでは、CRLローカル・キャッシュは自動的に有効になります。CRLの取得は時間のかかるプロセスであるため、CRLは有効な間ローカル・ファイルに格納できます。さらに、WebLogic Serverでは、ローカル・キャッシュのリフレッシュ時間をCRLの有効期間のパーセンテージで表して構成できます。

次のCRLインポート・ディレクトリにコピーすることにより、使用するCRLファイルを提供できます。ここで、server-nameはWebLogic Serverインスタンスの名前を表します。

WL_HOME/servers/server-name/security/certrevocation/crlcache/import

CRLファイルは自動的にインポートされ、内部的にキャッシュされます。このディレクトリは、存在しない場合、CRチェックが有効となりSSL接続が試みられると、自動的に作成されます。

注意:

次の点に注意してください。

  • WebLogic Serverが起動された後、CRチェックが有効となり、少なくとも一度、証明書失効ステータスのチェックが試みられると、自動的にCRLファイルのインポートが開始されます。これで、リソースの使用が必要最小限に抑えられます。

  • CRLファイルをインポートすると、自動的にインポート・ディレクトリから削除されます。

  • CRLローカル・キャッシュ構成設定はドメイン規模で行われます。CRLローカル・キャッシュの認証局オーバーライドは構成できません。

WebLogicドメインのCRLローカル・キャッシュの構成は、次のMBean属性を使用して行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocMBean.CrlCacheRefreshPeriodPercent

CRLローカル・キャッシュのリフレッシュ期間をCRLの有効期間のパーセンテージで指定します。

100

WebLogic Server管理コンソールを使用してWebLogicドメインのCRLローカル・キャッシュを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプドメイン規模のCRL設定の構成に関する項を参照してください。

認証局オーバーライドの構成

認証局オーバーライドを構成すると、特定のCAにより発行された証明書に対して実行されるCRチェック動作を指定できます。認証局オーバーライドは、常に有効なドメイン規模のCRチェック構成より優先されます。

次の項では、CRチェックのCAオーバーライドを構成する方法について説明します。

一般的な認証局オーバーライド

特定のCAの認証局オーバーライドを作成するには、次の手順を実行します。

  1. CAを識別名で識別します。これは、このオーバーライドを適用する証明書の完全な発行者識別名(RFC 2253で定義されています)にする必要があります。

    たとえば、WebLogic Server DemoTrust CAの識別名は、CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=USです。

  2. 必要に応じて、このCAによって発行された証明書に対してCRチェックを有効にするかどうかを指定します。
  3. このCAによって発行された証明書のCRチェック方法と実行順序を指定します。
  4. このCAによって発行された証明書の失効ステータスが特定できない場合に、SSL証明書のパス検証が失敗するかどうかを指定します。
  5. 必要に応じて、次の項で説明するとおり、OCSPまたはCRLの追加カスタマイズを指定します。

CAの一般的な認証局オーバーライドの構成は、次のMBean属性を使用して行うことができます。

MBeanの属性 説明 デフォルト値
CertRevocCaMBean.DistinguishedName

CAサブジェクトの識別名(DN)を指定します。

なし(必須フィールド)

CertRevocCaMBean.CheckingDisabled

このCAに対して、CRチェックが無効かどうかを指定します。

false
CertRevocCaMBean.FailOnUnknownRevocStatus

このCAに対して、証明書失効ステータスが使用可能などの方法でも特定できない場合、SSL証明書のパス・チェックが失敗するかどうかを指定します。

現在のCertRevocMBean.FailOnUnknownRevocStatusの設定と同じです。

CertRevocCaMBean.MethodOrder

このCAによって発行された証明書のチェックの際の証明書失効チェック方法の順序を指定します。

現在のCertRevocMBean.MethodOrderの設定と同じです。

WebLogic Server管理コンソールを使用して認証局オーバーライドを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプ認証局オーバーライドの構成に関する項を参照してください

認証局オーバーライドのOCSPプロパティの構成

WebLogic Serverは、そのOCSP実装で次の信頼モデルを試みます。

  • Delegated Trust Model (DTM) - OCSPレスポンスは、CAよりレスポンスの署名を行うよう委任されたOCSP応答者によって署名されます。

  • Explicit Trust Model (ETM) - OCSPの職責が委任されたオーソリティとCAのいずれもOCSPレスポンスに署名していない場合、明示的に信頼された署名者が指定されます。ETMは、OCSPレスポンス署名の検証に使用される可能性のある信頼性のある追加証明書を提供できる場合に使用されます。これは、オーバーライドに対応するCAとは無関係なものも含め、どの証明書でもかまいません。ETMは、信頼性はあるものの、発行者のかわりにOCSPレスポンスに署名することは許可されていないOCSP応答者に使用できます。明示的に信頼されたOCSP応答者のパブリック証明書は、OCSPサーバーが企業内で内部的に維持される場合に適している場合があります。

  • CA署名の信頼モデル - OCSPレスポンスは、失効ステータスが要求されている証明書を発行したCAと同じCAによって署名されると見なされます。

認証局オーバーライドを作成する際、WebLogic Serverでは、表40-2で説明されているOCSPプロパティを構成できます。この表は、これらのオーバーライド・プロパティの構成に使用できるMBean属性も示しています。

表40-2 認証局オーバーライドで指定できるOCSPプロパティ

オーバーライド 説明 MBeanの属性

OCSP応答者URL

次のいずれかで使用されるURLを指定します。

  • フェイルオーバー: 証明書のAIA値からのOCSP応答者URIが使用できないかアクセスできない場合

  • オーバーライド: 証明書AIAからの応答者URIのかわりに応答者URLとして常に使用

「OCSP応答者URLの特定」を参照してください。

CertRevocCaMBean.OcspResponderUrl

デフォルトの値はNoneです。

OCSP応答者URLの使用方法

OCSP応答者URLを、フェイルオーバーまたはオーバーライドのどちらで使用するのかを指定します。

CertRevocCaMBean.OcspResponderUrlUsage

デフォルト値はFAILOVERです。

OCSP応答者の証明書サブジェクト名

このCAに対して、明示的信頼のOCSP応答者証明書サブジェクト名を指定します。たとえば、CN=OCSP Responder, O=XYZ Corpのようになります。これは、構成されているWebLogic Server信頼キーストア内の証明書のサブジェクト識別名に対応する必要があります。

サブジェクト名のみで証明書を一意に特定するのに十分でない場合は、かわりにCertRevocCaMBean.OcspResponderCertIssuerNameCertRevocCaMBean.OcspResponderCertSerialNumberの両方が使用されます。

CertRevocCaMBean.OcspResponderCertSubjectName

デフォルト値はNONEです。

OCSP応答者の証明書発行者名

このCAに対して、明示的に信頼されているOCSP応答者証明書発行者名を指定します。たとえば、CN=Enterprise CA, O=XYZ Corpのようになります。これは、構成されているWebLogic Server信頼キーストア内の証明書の発行者識別名に対応する必要があります。

この属性が設定されている場合、CertRevocCaMBean.OcspResponderCertSerialNumberも設定する必要があります。

CertRevocCaMBean.OcspResponderCertIssuerName

デフォルト値はNONEです。

OCSP応答者の証明書シリアル番号

このCAに対して、明示的に信頼されているOCSP応答者証明書シリアル番号を指定します。たとえば、2A:FF:00のようになります。これは、構成されているWebLogic Server信頼キーストア内の証明書のシリアル番号に対応する必要があります。

この属性が設定されている場合、CertRevocCaMBean.OcspResponderCertIssuerName属性も設定する必要があります。

CertRevocCaMBean.OcspResponderCertSerialNumber

デフォルト値はNONEです。

OCSP応答者の明示的信頼方法

このCAに対して、OCSP明示的信頼モデルが有効であるかどうか、およびWebLogic Server信頼キーストアで信頼性のある証明書を指定する方法を指定します。

以下の値を指定できます。

  • NONEは、明示的信頼が無効であることを示します。

  • USE_SUBJECTは、信頼性のある証明書が、CertRevocCaMBean.OcspResponderCertSubjectName属性で指定されるサブジェクトDNを使用して特定されることを示します。

  • USE_ISSUER_SERIAL_NUMBERは、信頼性のある証明書が、CertRevocCaMBean.OcspResponderCertIssuerNameおよびCertRevocCaMBean.OcspResponderCertSerialNumber属性でそれぞれ指定される発行者DNと証明書シリアル番号を使用して特定されることを示します。

CertRevocCaMBean.OcspResponderExplicitTrustMethod

デフォルト値はNONEです。

Nonceの有効化

このCAに対して、OCSPリクエストとともにNonce(新しい(事前署名されていない)レスポンスを強制適用します)を送信するかどうかを指定します。

CertRevocCaMBean.OcspNonceEnabled

デフォルト値は、現在のCertRevocMBean.OcspNonceEnabledの設定と同じです。

OCSPレスポンス・ローカル・キャッシュ

このCAに対して、OCSPレスポンスのローカル・キャッシュが有効かどうかを指定します。

CertRevocCaMBean.OcspResponseCacheEnabled

デフォルト値は、現在のCertRevocMBean.OcspResponseCacheEnabledの設定と同じです。

OCSPレスポンス・タイムアウト

このCAに対して、OCSPレスポンスのタイムアウト時間を秒単位で指定します。有効範囲は1 - 300です。

「レスポンス・タイムアウト時間の設定」を参照してください。

CertRevocCaMBean.OcspResponseTimeout

デフォルト値は、現在のCertRevocMBean.OcspResponseTimeoutの設定と同じです。

OCSP許容時間

このCAに対して、WebLogic Serverと応答者間のクロック・スキュー差を処理するための許容時間を秒単位で指定します。有効範囲は0 - 900です。

レスポンスの有効期間は、指定した時間だけ、未来にも過去にも延長され、効果的に有効期間を広げられます。

CertRevocCaMBean.OcspTimeTolerance

デフォルト値は、現在のCertRevocMBean.OcspTimeToleranceの設定と同じです。

WebLogic Server管理コンソールを使用して認証局オーバーライドのOCSP設定を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプ認証局オーバーライドの構成に関する項を参照してください。

次のトピックでは、OCSP応答者URLを特定する方法を説明します。

OCSP応答者URLの特定

OCSP応答者ルックアップを使用して証明書を検証するため、WebLogic Serverは次の方法を使用してOCSP応答者URLを特定します。

  • 証明書のAuthority Information Access (AIA)値。これは証明書の発行者の情報およびサービスにアクセスする方法を示します。たとえば、AIAにはOCSP応答者のURIが含まれています。

  • デフォルトのOCSP応答者フェイルオーバーまたはオーバーライド。OCSP応答者URIが証明書のAIA値から使用できないまたは受け入れられない場合、デフォルトのOCSP応答者URLをCAごとに構成できます。

    さらに、CAごとのデフォルトのOCSP応答者URLは、選択的にフェイルオーバーまたはオーバーライドに対して指定できます。オーバーライドに対して指定すると、このURLは証明書のAIA拡張から取得した値を常にオーバーライドします。

WebLogic Server管理コンソールを使用して認証局オーバーライドのOCSP応答者URLを設定する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプ認証局オーバーライドの構成に関する項を参照してください。

認証局オーバーライドのCRLプロパティの構成

認証局オーバーライドを構成する際、WebLogic Serverでは、表40-3にリストされ、説明されているCRLプロパティを構成できます。この表は、これらのプロパティの構成に使用できるMBean属性も示しています。

表40-3 認証局オーバーライドで指定できるCRLプロパティ

オーバーライド 説明 MBeanの属性

ローカルCRLキャッシュの更新ための配布ポイントの使用

このCAに対して、CRL配布ポイントでローカルCRLキャッシュを更新する処理を有効にするかどうかを指定します。

CertRevocCaMBean.CrlDpEnabled

デフォルト値は、現在のCertRevocMBean.CrlDpEnabledの設定と同じです。

配布ポイントURL

このCAに対して、次の場合に使用されるCRL配布ポイントURLを指定します。

  • フェイルオーバー: 証明書のCRLDistributionPoints拡張からのURLが使用できない場合

  • オーバーライド: 証明書のCRLDistributionPoints拡張のかわりにCRL配信ポイントURLとして常に使用

CertRevocCaMBean.CrlDpUrl

デフォルト値はnullです。

配布ポイントURLの使用方法

配布ポイントURLをフェイルオーバーまたはオーバーライドのどちらで使用するのかを指定します。

CertRevocCaMBean.CrlDpUrlUsage

デフォルト値はFAILOVERです。

配布ポイントのCRLダウンロード・タイムアウト

このCAに対して、配布ポイントCRLダウンロードの全体のタイムアウト時間を秒単位で指定します。有効範囲は1 - 300です。

CertRevocCaMBean.CrlDpDownloadTimeout

デフォルト値は、現在のCertRevocMBean.CrlDpDownloadTimeoutの設定と同じです。

WebLogic Server管理コンソールを使用して認証局オーバーライドのCRL設定をカスタマイズする方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプ認証局オーバーライドの構成に関する項を参照してください。