Reflection SSL/TLS 接続と Secure Shell 接続では、電子証明書 PKI (Public Key Infrastructure) の核となる構成要素です。電子証明書 (別名、X.509 証明書) は認証局 (CA) によって発行されるもので、証明書内の情報の有効性を保証します。各証明書には、証明書の所有者に関する情報、証明書の所有者の公開鍵のコピー (メッセージおよび電子署名の暗号化と解読に使用)、電子署名 (証明書の内容に基づいて認証局が生成) が含まれています。受信者はこの電子署名を使用して、証明書が不正に変更されておらず、信頼できることを確認します。 を使用したホスト認証を構成できます。失効していない証明書を確実に使用するには、CRL 認証局によって失効された、電子署名された証明書の一覧。CRL で識別された証明書はすでに有効ではありません。 または OCSP 証明書が有効であるかを確認する CRL チェックに代わって使用できるプロトコル (HTTP トランスポートを使用)。OCSP レスポンダは、証明書ステータス要求に対して 3 つの電子署名応答 (good (良好)、revoked (取り消し)、unknown(不明)) のいずれかによって応答します。OCSP を使用すると、サーバやクライアントが大きな CRL を取得して並べ替える必要がありません。 レスポンダを使用して証明書の取り消しを確認するように Reflection を構成します。
Reflection で CRL の確認が有効になっている場合は、証明書の CRL Distribution Point (CDP) フィールドに指定されているすべての場所で CRL が必ず確認されます。また、LDAP 情報の中央位置への保存およびユーザへの情報の配布に使用できる標準的なプロトコル。 ディレクトリにある CRL を確認したり、OCSP 証明書が有効であるかを確認する CRL チェックに代わって使用できるプロトコル (HTTP トランスポートを使用)。OCSP レスポンダは、証明書ステータス要求に対して 3 つの電子署名応答 (good (良好)、revoked (取り消し)、unknown(不明)) のいずれかによって応答します。OCSP を使用すると、サーバやクライアントが大きな CRL を取得して並べ替える必要がありません。 レスポンダを使用するように Reflection を構成することもできます。
Reflection では、証明書取消しの確認の既定値は現在のシステム設定に基づいて決まります。システムが CRL の確認を行うように設定されている場合は、既定ですべての Reflection セッションにおいて CRL を使用して証明書取消しが確認されます。
メモ:Reflection が DOD PKI モードで実行されている場合、証明書取り消しは常に有効であり、無効にすることはできません。
すべての SSH セッションで CRL の確認を有効にするには
Internet Explorer で [ツール] - [インターネットオプション] - [詳細設定] を選択します。
[セキュリティ] の下の [サーバ証明書の取り消しを確認する] をオンにします。
Reflection では、CRL または OCSP レスポンダを使用した証明書取り消し確認を行えます。
Secure Shell セッションでの CRL の確認を有効にするには
[Secure Shellの設定]ダイアログボックスを開きます。
[PKI] タブをクリックします。
[Use OCSP(OCSPを使用)] または [Use CRL(CRLを使用)] をオンにします。
SSL/TLS セッションでの CRL の確認を有効にするには
[セキュリティのプロパティ] ダイアログボックスを開きます。
[SSL/TLS] タブで [PKI の構成] をクリックします([SSL/TLS セキュリティを使用する] がオンになっている必要があります)。
[Use OCSP(OCSPを使用)] または [Use CRL(CRLを使用)] をオンにします。