7.6.2.3. 失効情報ストアの設定: LDAP ディレクトリー
OCSP Manager はデフォルトでは CA CRL を内部データベースに保存しますが、代わりに LDAP ディレクトリーに公開された CRL を使用するよう設定することができます。
重要
ldapStore メソッドが有効になっていると、OCSP ユーザーインターフェイスは証明書のステータスを確認しません。
LDAP ディレクトリーを使用するように Online Certificate Status Manager を設定するには、以下を実行します。
- オンライン証明書ステータスマネージャーコンソールを開きます。
pkiconsole https://server.example.com:8443/ocsp
- Configuration タブで Online Certificate Status Manager を選択し、Revocation Info Stores を選択します。
右側のペインには、Online Certificate Status Manager が使用できる 2 つのリポジトリーが表示されます。デフォルトでは、内部データベースで CRL を使用します。 - LDAP ディレクトリーで CRL を使用するには、 をクリックして ldapStore オプションを有効にします。
- ldapStore を選択し、 をクリックします。
- ldapStore パラメーターを設定します。
- numConns.OCSP サービスがチェックする必要のある LDAP ディレクトリーの合計数。デフォルトでは、これは 0 に設定されます。この値を設定すると、対応する host フィールド、port フィールド、baseDN フィールド、および refreshInSec フィールドの数が表示されます。
- host.LDAP ディレクトリーの完全修飾 DNS ホスト名。
- port。LDAP ディレクトリーの SSL/TLS ポート以外のポート。
- baseDN.CRL の検索を開始する DN。たとえば、O=example.com です。
- refreshInSec.接続が更新される頻度。デフォルトは 86400 秒 (毎日) です。
- caCertAttr.デフォルト値である cACertificate;binary はそのままにしておきます。これは、Certificate Manager がその CA 署名証明書を公開する属性です。
- crlAttr.デフォルト値である certificateRevocationList;binary はそのままにしておきます。これは、Certificate Manager が CRL を公開する属性です。
- notFoundAsGood.問題の証明書が CRL のいずれかに見つからない場合は、GOOD の OCSP 応答を返すように OCSP サービスを設定します。これを選択しないと、応答は UNKNOWN になり、クライアントが発生した場合にはエラーメッセージが表示されます。
- byName.OCSP レスポンダーは、応答を行う OCSP レスポンダーの ID を含む基本的な応答タイプのみをサポートします。基本応答タイプの ResponderID フィールドは、
ocsp.store.defStore.byNameパラメーターの値により決定されます。byNameパラメーターが true である、または存在しない場合、OCSP 認証局署名証明書サブジェクト名は OCSP 応答の ResponderID フィールドとして使用されます。byNameパラメーターが false の場合、OCSP 認証局署名証明書キーハッシュは OCSP 応答の ResponderID フィールドになります。 - includeNextUpdate.Online Certificate Status Manager には、次の CRL 更新時間のタイムスタンプを含めることができます。