| Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理 12c (12.2.1.3.0) E90347-06 |
|
 前 |
 次 |
WebLogic Serverでは、クライアント証明書の検証(インバウンドSSL)やサーバー証明書の検証(アウトバウンドSSL)などの目的で証明書失効(CR)チェックを使用できます。
WebLogic ServerのCRチェック・メカニズムには、次の機能があります。
次の証明書失効方法のサポート
Online Certificate Status Protocol (OCSP)
証明書失効リスト(CRL)
ドメイン規模ですべての認証局(CA)に対してCRチェックを構成できます。必要に応じて、特定のCAに対して認証局オーバーライドを構成することもできます。
認証局オーバーライドには、特定のCAにより発行された証明書に対して有効にする、ドメイン規模のCRチェック構成への変更が含まれます。たとえば、特定のOCSP応答者URLを使用するように構成したり、証明書失効ステータスを特定できない場合にSSL証明書パス検証が失敗するように指定できます。作成する各認証局オーバーライドは、特定の1つのCAにのみ適用されます。
WebLogic Serverでは、CRチェックはデフォルトで無効です。ただし、WebLogic Server管理コンソールまたはWLSTを使用して、CRチェックを有効にし、後続の項で説明するプロパティを構成できます。
ノート:
WebLogic ServerインスタンスでCRチェックが使用できるのは、JSSEが有効な場合のみです。
WebLogic Serverでは、CRチェックはデフォルトで無効です。CRチェックを有効にすると、WebLogic Serverはドメイン規模で、検証する各証明書の現在の失効ステータスを取得する包括的なメカニズムを提供します。
ここでは、CRチェックを有効にした場合のWebLogic Serverのデフォルトの動作について説明します。後続の項では、ドメイン規模または選択的に特定の認証局に対して適用できるカスタマイズについて説明します。
デフォルトのCRチェック構成が有効な場合、WebLogic ServerはSSL証明書パスの検証時に自動的に次のことを行います。
OCSPレスポンス・ローカル・キャッシュをチェックして証明書失効ステータスを取得します。OCSPレスポンス・ローカル・キャッシュは、OCSP応答者により提供される最新の証明書ステータスを保持するインメモリー・キャッシュです。
OCSPの証明書ステータスには特定の有効期間があります。証明書ステータスの期限が切れると、WebLogic Serverは次のことを行います。
証明書からOCSP応答者URIを取得します。このURIは、証明書のAuthority Information Access (AIA)値に含まれます。このAIAは、証明書の発行者から情報およびサービスにアクセスする方法を示します。
OCSP応答者にOCSPリクエストを送信します。
OCSP応答者はOCSPレスポンスを返します。レスポンスにはgood、revokedまたはunknownの証明書ステータスが含まれます。
OCSPレスポンス・ローカル・キャッシュをOCSPレスポンスで更新します。
OCSPレスポンス・ローカル・キャッシュにおいて有効で期限内のエントリのある証明書の場合、WebLogic Serverは新しいOCSPレスポンスをリクエストするかわりに、キャッシュからその失効ステータスを取得できます。これにより、パフォーマンスが向上し、ネットワーク帯域幅の使用量が削減されます。
ノート:
次の点に注意してください。
キャッシュされたエントリはOCSP有効期間に基づいて失効しますが、キャッシュ動作はカスタマイズできます。
OCSP nonceが有効な場合、ローカルのOCSPレスポンス・キャッシュは使用されません。これにより、最新のレスポンスが保証されます。
証明書のOCSPステータスがunknownの場合、WebLogic Serverは、CRLローカル・キャッシュで有効なCRLをチェックし、証明書が失効しているかどうかを判断します(OCSPでrevokedまたはnot revokedのステータスが特定されると、CRLはその証明書で使用されません)。
デフォルトで、CRLローカル・キャッシュは、WebLogicドメイン内の各サーバー・インスタンスで維持され、CRL配布ポイントから必要に応じて更新されるファイルベース・ストアです。CRL配布ポイントは、ダウンロード用にCRLを提供するネットワーク・アクセスが可能なサーバーです。
CRLローカル・キャッシュに有効なCRLがない場合、WebLogic Serverは次のことを行います。
証明書のCRLDistributionPoints拡張に含まれるCRL配布ポイントURLを取得します。
CRL配布ポイントURLを使用して、新しいCRLをダウンロードし、キャッシュに追加します。
CRLでその証明書に対応するエントリを検索します。
発行者からのCRLに証明書のシリアル番号がない場合、証明書ステータスはnot revokedに設定されます。
次の点に注意してください。
証明書にrevokedのOCSPステータスがあるか、証明書が有効なCRLに含まれている場合、WebLogic Serverでは自動的にSSL証明書パス検証が失敗します。
OCSPを使用して使用可能なCRLをチェックした後、失効ステータスが不明または特定できない場合、デフォルトでは証明書パス検証は失敗しません。
次のトピックでは、デフォルトのCRチェックを構成およびカスタマイズする方法について説明しています。
WebLogicドメインでのデフォルトのCRチェック機能の有効化は、次のMBean属性より行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.CheckingEnabled |
CRチェックがドメイン規模で有効かどうかを指定します。 |
False |
WebLogic Server管理コンソールを使用してWebLogicドメインのCRチェックを有効にする方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメインでの証明書失効チェックの有効化に関する項を参照してください。
「認証局オーバーライドの構成」の説明に従って、このMBean属性に対してCAオーバーライドを構成できます。
WebLogic ServerのデフォルトのCRチェック動作は、CRチェックが望まれるが必須ではないデプロイメント環境に適しています。環境によって、CRチェックを必要としたり、特定の認証局に固有の動作をさせることが必要な場合があります。表40-1は、WebLogic ServerでCRチェックに対して行うことができるカスタマイズのタイプを一覧形式でまとめ、それらについて説明している各項へのリンクを示しています。
表40-1 CRチェック構成に対して行うことができるカスタマイズ
| カスタマイズ | 説明 |
|---|---|
CRチェック方法の順序 |
サポートされるCRチェック方法(OCSPとCRL)が使用される順序を指定します。必要に応じて、OCSPのみまたはCRLのみを使用するよう選択できます。「WebLogic Serverで使用するCRチェック方法の選択」を参照してください。 |
証明書失効ステータスの必要性 |
証明書の失効ステータスが不明または特定できない場合、SSL証明書パス検証は失敗する必要があることを指定します。「失効ステータスが特定できない場合のSSL証明書パス検証の失敗」を参照してください。 |
ドメイン規模のOCSP設定 |
次のOCSP機能または動作のうち1つ以上をドメイン規模でカスタマイズします。
「Online Certificate Status Protocolの使用」を参照してください。 |
ドメイン規模のCRLプロトコル設定 |
次のCRL機能または動作のうち1つ以上をドメイン規模でカスタマイズします。
「証明書失効リストの使用」を参照してください。 |
認証局オーバーライド |
特定のCAにより発行された証明書に対し、CRチェック動作をカスタマイズします。たとえば:
認証局オーバーライドは、常に既存のドメイン規模の設定より優先されます。「認証局オーバーライドの構成」を参照してください。 |
デフォルトでは、証明書の失効ステータスをチェックする際、WebLogic Serverは最初にOnline Certificate Status Protocol (OCSP)を使用します。OCSPが証明書ステータスをunknownとして返すと、WebLogic ServerはCRLを使用します。ただし、CertRevocMBean.MethodOrder MBean属性を使用すると、WebLogicドメインのCRチェック方法および順序を変更できます。
使用するCRチェック方法またはその方法の使用順序は、次のいずれかに変更できます。
OCSPのみ
CRLのみ
OCSP、CRLの順 — 証明書のOCSPステータスがunknownとして返されると、CRLで証明書ステータスがチェックされます。
CRL、OCSPの順 — 使用可能なCRLのチェックで証明書の失効ステータスが特定できない場合、OCSPのステータスがチェックされます。
WebLogicドメインのCRチェック方法および順序の構成は、次のMBean属性より行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.MethodOrder |
ドメイン規模のCRチェック方法を指定します。 |
OCSP_THEN_CRL |
「認証局オーバーライドの構成」の説明に従って、このMBean属性に対してCAオーバーライドを構成できます。
WebLogic Server管理コンソールを使用してWebLogicドメインのCRチェック方法および順序を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメインでの証明書失効チェックの有効化に関する項を参照してください。
デフォルトでは、X.509証明書の失効ステータスが選択したチェック方法で特定できない場合でも、SSL証明書パス検証が成功すれば、証明書を受け入れることができます。ただし、失効ステータスを特定できない証明書については、証明書パス検証が失敗するようにWebLogic Serverを構成することもできます。
失効ステータスを特定できない場合にSSL証明書パス検証が失敗するようなWebLogicドメインの構成は、次のMBean属性より行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.FailOnUnknownRevocStatus |
失効ステータスが特定できない場合に証明書のパス検証が失敗するかどうかをドメイン規模で指定します。 |
False |
「認証局オーバーライドの構成」の説明に従って、このMBean属性に対してCAオーバーライドを構成できます。
WebLogic Server管理コンソールを使用してこのMBean属性を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメインでの証明書失効チェックの有効化に関する項を参照してください。
Online Certificate Status Protocol (OCSP)は、RFC 2560で定義されている自動証明書チェック・ネットワーク・プロトコルです。
証明書検証の一部として、WebLogic ServerはOCSP応答者にOCSPリクエストを発行することにより、証明書の失効ステータスを問い合せます。証明書ステータスはOCSP応答者により保持されます。証明書の受入れは、証明書が今もなお発行元のCAにより信頼されているかどうかを示すOCSPレスポンスを応答者が返すまで保留されます。
OCSPは、CRLよりタイムリーな失効情報の提供という運用上の要件を満たすために使用されたり、追加のステータス情報を取得するために使用される場合があります。OCSPの詳細は、RFC 2560(http://www.ietf.org/rfc/rfc2560.txt)の説明を参照してください。
次の項では、WebLogic ServerでOCSPを構成する方法について説明します。
Nonceは、OCSPリクエストに含まれている場合に新しいレスポンスを強制する(事前に署名されたレスポンスは拒否される)乱数です。Nonceを使用することで、反射攻撃を防止できます。デフォルトでは、WebLogic ServerはOCSPリクエストにNonceを含めません。
ただし、OCSPでNonceを使用するようにWebLogic Serverが構成されている場合、次のようになります。
WebLogic Serverは、各OCSPリクエストに対してNonceを生成し、これをリクエストの拡張内に含めます。
署名されたOCSPレスポンスは、レスポンスの拡張内に含められるものと同じNonceを含む必要があります。
WebLogicドメインでOCSP Nonceを使用する構成は、次のMBean属性を使用して行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.OcspNonceEnabled |
OCSPリクエストに対してNonceを生成するかどうかを指定します。この設定はドメイン規模で行われます。 |
false |
このMBean属性に対し、CAオーバーライドを構成することもできます。「認証局オーバーライドのOCSPプロパティの構成」を参照してください。
WebLogic Server管理コンソールを使用してOCSP nonceを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメイン規模のOCSP設定の構成に関する項を参照してください。
レスポンス・タイムアウト時間は、OCSPレスポンスの待機時間を制限します。タイムアウト時間の設定により、ブロックされるスレッドを最小限に抑え、サービス拒否攻撃に対するシステムの脆弱性も軽減できます。レスポンス・タイムアウト時間の設定に加え、WebLogic ServerとOCSP応答者間のクロック・スキュー差を処理するための許容時間値も構成できます。
デフォルトのレスポンス・タイムアウト時間は10秒、許容時間は0です。レスポンス・タイムアウト時間および許容時間の値は、ドメイン規模で設定することも、必要に応じて1つ以上のCAに対してのみに設定することもできます。
WebLogicドメインのOCSPレスポンス・タイムアウト時間および許容時間値の構成は、次のMBean属性を使用して行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.OcspResponseTimeout |
OCSPレスポンスに対し、ドメイン規模のタイムアウト時間を秒単位で指定します。有効範囲は1 - 300です。 |
10 |
CertRevocMBean.OcspTimeTolerance |
OCSPレスポンスに対し、ドメイン規模のOCSP許容時間値を秒単位で指定します。 |
0 |
これらのMBean属性に対し、CAオーバーライドを構成することもできます。「認証局オーバーライドのOCSPプロパティの構成」を参照してください。
WebLogic Server管理コンソールを使用してOCSPレスポンス・タイムアウト時間および許容時間の値を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメイン規模のOCSP設定の構成に関する項を参照してください。
パフォーマンスを最適化し、ネットワークの帯域幅を削減するため、WebLogic ServerのOCSP実装はデフォルトで、OCSPレスポンス・ローカル・キャッシュと呼ばれるOCSPレスポンスを保持するためのローカル・インメモリー・キャッシュを使用するように構成されます。キャッシュされたエントリは、OCSP有効期間やその他の条件(アクセスが最も少ないエントリなど)に基づいて、自動的に失効します。Nonceが有効な場合、Nonceを使用して取得されたOCSPレスポンスはキャッシュされません。これにより、Nonceとともに最新のレスポンスが常に使用されます。
WebLogicドメインでのOCSPレスポンス・ローカル・キャッシュの構成は、次のMBean属性を使用して行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.OcspResponseCacheEnabled |
OCSPレスポンス・ローカル・キャッシュが有効かどうかをドメイン規模で指定します。 |
true |
CertRevocMBean.OcspResponseCacheCapacity |
OCSPレスポンス・ローカル・キャッシュでサポートされる最大エントリ数を指定します。 |
1024 |
CertRevocMBean.OcspResponseCacheRefreshPeriodPercent |
OCSPレスポンス・ローカル・キャッシュのリフレッシュ期間をレスポンスの有効期間のパーセンテージで指定します。たとえば、有効期間が10時間の場合、10%という値は1時間後にキャッシュされたレスポンスが失効し、新しいレスポンスが必要になることを示します。 |
100 |
このMBean属性に対してCAオーバーライドを構成することもできます。「認証局オーバーライドのOCSPプロパティの構成」を参照してください。
WebLogic Server管理コンソールを使用してOCSPレスポンス・ローカル・キャッシュを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメイン規模のOCSP設定の構成に関する項を参照してください。
証明書失効リスト(CRL)は、発行元の認証局(CA)により無効にされたデジタル証明書のタイムスタンプ付きリストです。各CRLはCAにより署名され、パブリック・リポジトリで使用可能になります。WebLogic ServerのCRL実装では、より効率的なCRチェックのためのCRLローカル・キャッシュ、ユーザーのCRLファイルの自動インポート、キャッシュの移入およびリフレッシュができる配布ポイントが提供されます。
WebLogic ServerのCRL実装には、次のサポートが含まれます。
CRLローカル・キャッシュ。これによりCRチェックで効果的なアクセスが可能となります。
ユーザーが提供したCRLファイルのCRLキャッシュへの自動インポート。
必要に応じてCRLキャッシュの移入およびリフレッシュができる配布ポイントの使用。
次の項では、WebLogic ServerでCRLの使用を構成する方法について説明します。
配布ポイントからのCRLの更新は、デフォルトで有効です。有効化されている証明書の適切なCRLが常にローカル・キャッシュに存在しない場合、そのCRLは使用可能な配布ポイントからダウンロードされます。
WebLogic Serverでは、配布ポイントからのCRLダウンロードのタイムアウト時間を構成することもできます。タイムアウト時間は、CRLダウンロードの待機時間を制限し、ブロックされるスレッドのリスクやサービス拒否攻撃に対する脆弱性を最小限に抑えます。CRLダウンロードがタイムアウトすると、CRLメソッドでは失効ステータスが不明であると報告します。ただし、CRLダウンロードは別のスレッドで完了するまで継続され、そのCRLは将来のCRLチェックで使用可能となります。
WebLogicドメインのCRL配布ポイントの構成は、次のMBean属性を使用して行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.CrlDpEnabled |
CRL配布ポイントがドメイン規模で有効かどうかを指定します。 |
true |
CertRevocMBean.CrlDpDownloadTimeout |
配布ポイントCRLダウンロードに対し、全体のタイムアウト時間(秒単位)をドメイン規模で指定します。有効範囲は1 - 300です。 |
10 |
これらのMBean属性に対し、CAオーバーライドを構成することもできます。「認証局オーバーライドのCRLプロパティの構成」を参照してください。
WebLogic Server管理コンソールを使用してWebLogicドメインのCRL配布ポイントを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメイン規模のCRL設定の構成に関する項を参照してください。
WebLogic Serverでは、CRLローカル・キャッシュは自動的に有効になります。CRLの取得は時間のかかるプロセスであるため、CRLは有効な間ローカル・ファイルに格納できます。さらに、WebLogic Serverでは、ローカル・キャッシュのリフレッシュ時間をCRLの有効期間のパーセンテージで表して構成できます。
次のCRLインポート・ディレクトリにコピーすることにより、使用するCRLファイルを提供できます。ここで、server-nameはWebLogic Serverインスタンスの名前を表します。
WL_HOME/servers/server-name/security/certrevocation/crlcache/import
CRLファイルは自動的にインポートされ、内部的にキャッシュされます。このディレクトリは、存在しない場合、CRチェックが有効となりSSL接続が試みられると、自動的に作成されます。
ノート:
次の点に注意してください。
WebLogic Serverが起動された後、CRチェックが有効となり、少なくとも一度、証明書失効ステータスのチェックが試みられると、自動的にCRLファイルのインポートが開始されます。これで、リソースの使用が必要最小限に抑えられます。
CRLファイルをインポートすると、自動的にインポート・ディレクトリから削除されます。
CRLローカル・キャッシュ構成設定はドメイン規模で行われます。CRLローカル・キャッシュの認証局オーバーライドは構成できません。
WebLogicドメインのCRLローカル・キャッシュの構成は、次のMBean属性を使用して行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocMBean.CrlCacheRefreshPeriodPercent |
CRLローカル・キャッシュのリフレッシュ期間をCRLの有効期間のパーセンテージで指定します。 |
100 |
WebLogic Server管理コンソールを使用してWebLogicドメインのCRLローカル・キャッシュを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメイン規模のCRL設定の構成に関する項を参照してください。
認証局オーバーライドを構成すると、特定のCAにより発行された証明書に対して実行されるCRチェック動作を指定できます。認証局オーバーライドは、常に有効なドメイン規模のCRチェック構成より優先されます。
次の項では、CRチェックのCAオーバーライドを構成する方法について説明します。
特定のCAの認証局オーバーライドを作成するには、次のステップを実行します。
CAの一般的な認証局オーバーライドの構成は、次のMBean属性を使用して行うことができます。
| MBeanの属性 | 説明 | デフォルト値 |
|---|---|---|
CertRevocCaMBean.DistinguishedName |
CAサブジェクトの識別名(DN)を指定します。 |
なし(必須フィールド) |
CertRevocCaMBean.CheckingDisabled |
このCAに対して、CRチェックが無効かどうかを指定します。 |
false |
CertRevocCaMBean.FailOnUnknownRevocStatus |
このCAに対して、証明書失効ステータスが使用可能などの方法でも特定できない場合、SSL証明書のパス・チェックが失敗するかどうかを指定します。 |
現在の |
CertRevocCaMBean.MethodOrder |
このCAによって発行された証明書のチェックの際の証明書失効チェック方法の順序を指定します。 |
現在の |
WebLogic Server管理コンソールを使用して認証局オーバーライドを構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証局オーバーライドの構成に関する項を参照してください
WebLogic Serverは、そのOCSP実装で次の信頼モデルを試みます。
Delegated Trust Model (DTM) — OCSPレスポンスは、CAよりレスポンスの署名を行うよう委任されたOCSP応答者によって署名されます。
Explicit Trust Model (ETM) — OCSPの職責が委任されたオーソリティとCAのいずれもOCSPレスポンスに署名していない場合、明示的に信頼された署名者が指定されます。ETMは、OCSPレスポンス署名の検証に使用される可能性のある信頼性のある追加証明書を提供できる場合に使用されます。これは、オーバーライドに対応するCAとは無関係なものも含め、どの証明書でもかまいません。ETMは、信頼性はあるものの、発行者のかわりにOCSPレスポンスに署名することは許可されていないOCSP応答者に使用できます。明示的に信頼されたOCSP応答者のパブリック証明書は、OCSPサーバーが企業内で内部的に維持される場合に適している場合があります。
CA署名の信頼モデル — OCSPレスポンスは、失効ステータスが要求されている証明書を発行したCAと同じCAによって署名されると見なされます。
認証局オーバーライドを作成する際、WebLogic Serverでは、表40-2で説明されているOCSPプロパティを構成できます。この表は、これらのオーバーライド・プロパティの構成に使用できるMBean属性も示しています。
表40-2 認証局オーバーライドで指定できるOCSPプロパティ
| オーバーライド | 説明 | MBeanの属性 |
|---|---|---|
OCSP応答者URL |
次のいずれかで使用されるURLを指定します。
「OCSP応答者URLの特定」を参照してください。 |
CertRevocCaMBean.OcspResponderUrl デフォルトの値はNoneです。 |
OCSP応答者URLの使用方法 |
OCSP応答者URLを、フェイルオーバーまたはオーバーライドのどちらで使用するのかを指定します。 |
CertRevocCaMBean.OcspResponderUrlUsage デフォルト値は |
OCSP応答者の証明書サブジェクト名 |
このCAに対して、明示的信頼のOCSP応答者証明書サブジェクト名を指定します。たとえば、 サブジェクト名のみで証明書を一意に特定するのに十分でない場合は、かわりに |
CertRevocCaMBean.OcspResponderCertSubjectName デフォルト値は |
OCSP応答者の証明書発行者名 |
このCAに対して、明示的に信頼されているOCSP応答者証明書発行者名を指定します。たとえば、 この属性が設定されている場合、 |
CertRevocCaMBean.OcspResponderCertIssuerName デフォルト値は |
OCSP応答者の証明書シリアル番号 |
このCAに対して、明示的に信頼されているOCSP応答者証明書シリアル番号を指定します。たとえば、 この属性が設定されている場合、 |
CertRevocCaMBean.OcspResponderCertSerialNumber デフォルト値は |
OCSP応答者の明示的信頼方法 |
このCAに対して、OCSP明示的信頼モデルが有効であるかどうか、およびWebLogic Server信頼キーストアで信頼性のある証明書を指定する方法を指定します。 以下の値を指定できます。
|
CertRevocCaMBean.OcspResponderExplicitTrustMethod デフォルト値は |
Nonceの有効化 |
このCAに対して、OCSPリクエストとともにNonce(新しい(事前署名されていない)レスポンスを強制適用します)を送信するかどうかを指定します。 |
CertRevocCaMBean.OcspNonceEnabled デフォルト値は、現在の |
OCSPレスポンス・ローカル・キャッシュ |
このCAに対して、OCSPレスポンスのローカル・キャッシュが有効かどうかを指定します。 |
CertRevocCaMBean.OcspResponseCacheEnabled デフォルト値は、現在の |
OCSPレスポンス・タイムアウト |
このCAに対して、OCSPレスポンスのタイムアウト時間を秒単位で指定します。有効範囲は1 - 300です。 「レスポンス・タイムアウト時間の設定」を参照してください。 |
CertRevocCaMBean.OcspResponseTimeout デフォルト値は、現在の |
OCSP許容時間 |
このCAに対して、WebLogic Serverと応答者間のクロック・スキュー差を処理するための許容時間を秒単位で指定します。有効範囲は0 - 900です。 レスポンスの有効期間は、指定した時間だけ、未来にも過去にも延長され、効果的に有効期間を広げられます。 |
CertRevocCaMBean.OcspTimeTolerance デフォルト値は、現在の |
WebLogic Server管理コンソールを使用して認証局オーバーライドのOCSP設定を構成する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証局オーバーライドの構成に関する項を参照してください。
次のトピックでは、OCSP応答者URLを特定する方法を説明します。
OCSP応答者ルックアップを使用して証明書を検証するため、WebLogic Serverは次の方法を使用してOCSP応答者URLを特定します。
証明書のAuthority Information Access (AIA)値。これは証明書の発行者の情報およびサービスにアクセスする方法を示します。たとえば、AIAにはOCSP応答者のURIが含まれています。
デフォルトのOCSP応答者フェイルオーバーまたはオーバーライド。OCSP応答者URIが証明書のAIA値から使用できないまたは受け入れられない場合、デフォルトのOCSP応答者URLをCAごとに構成できます。
さらに、CAごとのデフォルトのOCSP応答者URLは、選択的にフェイルオーバーまたはオーバーライドに対して指定できます。オーバーライドに対して指定すると、このURLは証明書のAIA拡張から取得した値を常にオーバーライドします。
WebLogic Server管理コンソールを使用して認証局オーバーライドのOCSP応答者URLを設定する方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証局オーバーライドの構成に関する項を参照してください。
認証局オーバーライドを構成する際、WebLogic Serverでは、表40-3にリストされ、説明されているCRLプロパティを構成できます。この表は、これらのプロパティの構成に使用できるMBean属性も示しています。
表40-3 認証局オーバーライドで指定できるCRLプロパティ
| オーバーライド | 説明 | MBeanの属性 |
|---|---|---|
ローカルCRLキャッシュの更新ための配布ポイントの使用 |
このCAに対して、CRL配布ポイントでローカルCRLキャッシュを更新する処理を有効にするかどうかを指定します。 |
CertRevocCaMBean.CrlDpEnabled デフォルト値は、現在の |
配布ポイントURL |
このCAに対して、次の場合に使用されるCRL配布ポイントURLを指定します。
|
CertRevocCaMBean.CrlDpUrl デフォルト値は |
配布ポイントURLの使用方法 |
配布ポイントURLをフェイルオーバーまたはオーバーライドのどちらで使用するのかを指定します。 |
CertRevocCaMBean.CrlDpUrlUsage デフォルト値は |
配布ポイントのCRLダウンロード・タイムアウト |
このCAに対して、配布ポイントCRLダウンロードの全体のタイムアウト時間を秒単位で指定します。有効範囲は1 - 300です。 |
CertRevocCaMBean.CrlDpDownloadTimeout デフォルト値は、現在の |
WebLogic Server管理コンソールを使用して認証局オーバーライドのCRL設定をカスタマイズする方法については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証局オーバーライドの構成に関する項を参照してください。
