11.1 証明書検証
証明書検証モジュールはセキュリティ・トークン・サービスによって使用され、X.509トークンを検証し、証明書が失効しているかどうかを検証します。
証明書失効リスト
「証明書失効リスト(CRL)」ページでは、失効した可能性がある証明書がリストされます。失効した証明書は、理由、発行日および発行エンティティとともにリストされます。潜在的ユーザーがサーバーにアクセスしようとすると、サーバーはその特定のユーザーのCRLエントリに基づいてアクセスを許可または拒否します。
次の表では、「証明書検証」ページの「証明書失効リスト」セクションの要素について説明します。
要素 | 説明 |
---|---|
アクション |
メニューからオプションを選択して、次の操作を実行します。
|
表示 |
メニューからコマンドを選択して、列の表示方法を制御します。
|
追加 |
「追加」ボタンをクリックし、「CA CRLの追加」ダイアログ・ボックスでCRLファイルを参照して選択し、「インポート」をクリックします。 |
削除 |
表内の行を選択して「削除」をクリックし、確認ポップアップで「はい」をクリックするとその行が削除され、「いいえ」をクリックするとその行が保持されます。 |
|
クリックして、列に対する問合せのために列ヘッダーの上に表示されるフィルタ行を表示または非表示にします。 |
|
クリックすると、フィルタ行のすべてのエントリがクリアされます。 |
行 |
行番号が表示されます。 |
発行者 |
証明書を発行したエンティティ名が表示されます。 |
発行日 |
証明書の発行日が表示されます。 |
更新日 |
提案された更新日が表示されます。 |
有効 |
証明書失効リスト機能を有効にする場合に選択します。 |
適用 |
「適用」をクリックして、構成を保存します。 |
元に戻す |
「元に戻す」をクリックすると、変更が元に戻されます。 |
OCSP/CDP
オンライン証明書ステータス・プロトコル(OCSP)は、CRLの代替として開発されました。OCSPでは、証明書のステータスに関する情報をリクエストするクライアント・アプリケーションが、リクエストに応答するサーバーからその情報をどのように取得するかを指定します。OCSP応答者は、リクエストで指定された証明書が適正、失効または不明のいずれかであることを示す、署名付きレスポンスを戻すことができます。OCSPがリクエストを処理できない場合、エラー・コードを戻します。
CRL配布ポイント拡張機能(CDP)には、CRLおよびOCSPサーバーの場所に関する情報が含まれます。
次の表では、「証明書検証」ページの「OCSP/CDP」セクションの要素について説明します。
要素 | 説明 |
---|---|
OCSP有効 |
OCSPを有効にする場合に選択します。 |
OCSP URL |
OCSPサービスのURLを入力します。 |
OCSP証明書サブジェクト |
OCSPサービスのサブジェクトDNを入力します。 |
CDP有効 |
CDPを有効にする場合に選択します。 |
適用 |
クリックすると、この構成が保存されます。 |
元に戻す |
クリックすると、変更が元に戻されます。 |
関連項目
Oracle Access Management管理者ガイドの共通サービスおよび証明書の検証の管理