D.5. オンライン証明書ステータスマネージャー固有の ACL

本セクションでは、Online Certificate Status Manager 用に特別に設定されたデフォルトのアクセス制御設定属性を説明します。OCSP レスポンダーの ACL 設定には、「共通 ACL」 に記載の共通 ACL がすべて含まれます。
OCSP の各インターフェイス (管理コンソール、エージェント、およびエンドエンティティーサービスページ) と、CRL の一覧表示やダウンロードなどの一般的な操作に対して、アクセス制御ルールが設定されています。

D.5.1. certServer.ee.crl

エンドエンティティーページから CRL へのアクセスを制御します。
allow (read) user="anybody"

表D.58 certServer.ee.crl ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 証明書失効リストを取得および表示します。 許可 全ユーザー

D.5.2. certServer.ee.request.ocsp

クライアントが OCSP 要求を送信する IP アドレスに基づいてアクセスを制御します。
allow (submit) ipaddress=".*"

表D.59 certServer.ee.request.ocsp ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
submit OCSP 要求を送信します。 許可 すべての IP アドレス

D.5.3. certServer.ocsp.ca

OCSP レスポンダーを指示できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (add) group="Online Certificate Status Manager Agents"

表D.60 certServer.ocsp.ca ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
Add 新しい CA に対する OCSP 要求に応答するように OCSP レスポンダーに指示します。 許可 OCSP Manager エージェント

D.5.4. certServer.ocsp.cas

CRL を Online Certificate Status Manager に公開するすべての Certificate Manager を、エージェントサービスインターフェイスで一覧表示できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (list) group="Online Certificate Status Manager Agents"

表D.61 certServer.ocsp.cas ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
list OCSP レスポンダーに CRL を公開する Certificate Manager の一覧を表示します。 許可 エージェント

D.5.5. certServer.ocsp.certificate

証明書のステータスを検証できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (validate) group="Online Certificate Status Manager Agents"

表D.62 certServer.ocsp.certificate ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
validate 指定の証明書の状態を検証します。 許可 OCSP エージェント

D.5.6. certServer.ocsp.configuration

Certificate Manager の OCSP サービスの設定へのアクセス、表示、または変更が可能なユーザーを制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"

表D.63 certServer.ocsp.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read OCSP プラグインの情報、OCSP 設定、および OCSP ストア設定を表示します。OCSP ストアの設定を一覧表示します。 許可
管理者
オンライン証明書ステータスマネージャーエージェント
監査者
modify OCSP 設定、OCSP ストア設定、およびデフォルトの OCSP ストアを変更します。 許可 管理者

D.5.7. certServer.ocsp.crl

エージェントサービスインターフェイスを介して CRL の読み取りまたは更新へのアクセスを制御します。デフォルト設定は次のとおりです。
allow (add) group="Online Certificate Status Manager Agents" || group="Trusted Managers"

表D.64 certServer.ocsp.crl ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
add 新しい CRL を、OCSP レスポンダーが管理するものに追加します。 許可
OCSP エージェント
信頼できるマネージャー

D.5.8. certServer.ocsp.group

Online Certificate Status Manager インスタンスのユーザーおよびグループを追加するために内部データベースへのアクセスを制御します。
allow (modify,read) group="Administrators"

表D.65 certServer.ocsp.group ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
modify インスタンスのユーザーおよびグループエントリーを作成、編集、削除します。 許可 管理者
read インスタンスのユーザーおよびグループエントリーを表示します。 許可 管理者

D.5.9. certServer.ocsp.info

OCSP レスポンダーに関する情報を読み取ることができるユーザーを制御します。
allow (read) group="Online Certificate Status Manager Agents"

表D.66 certServer.ocsp.info ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read OCSP レスポンダー情報を表示します。 許可 OCSP エージェント