1.4.2. 証明書の有効期限および更新
証明書のライセンスと同様、証明書は、有効である期間を指定します。有効期間の前後に認証に証明書を使用しようとすると失敗します。証明書の有効期限および更新の管理は、証明書管理ストラテジーの重要な部分です。たとえば、管理者は、証明書の有効期限が近づいたときに自動的に通知を受け取り、システムの動作を中断することなく適切な更新プロセスを完了できるようにすることができます。更新プロセスでは、同じ公開鍵のペアを再使用するか、新しい鍵を発行できます。
さらに、従業員が会社を辞めたり、会社内の別の部署で新しい仕事に異動したりした場合など、証明書の有効期限が切れる前に証明書を取り消す必要がある場合があります。
証明書失効は複数の方法で処理できます。
- 証明書がディレクトリーに存在しているかどうかの確認
- サーバーは、認証プロセスが提示されている証明書の存在についてディレクトリーをチェックするように設定できます。管理者が証明書を取り消すと、証明書はディレクトリーから自動的に削除され、証明書が他のすべての点で有効なままであっても、その証明書を使用した後続の認証試行は失敗します。
- 証明書失効リスト (CRL)
- 失効した証明書 (CRL) は、一定間隔でディレクトリーに公開できます。CRL は認証プロセスの一部として確認できます。
- リアルタイムのステータスチェック
- 認証用に証明書が提示されるたびに、発行 CA を直接確認することもできます。この手順は、リアルタイムステータスチェックと呼ばれることもあります。
- オンライン証明書ステータスプロトコル
- OCSP (Online Certificate Status Protocol) サービスを設定して、証明書のステータスを確認できます。
証明書の更新に関する詳細は、「証明書の更新」を参照してください。CRL や OCSP を含む証明書の取り消しに関する詳細は、「証明書の取り消しとステータスの確認」を参照してください