証明書失効チェックを有効にする
失効した証明書の自動チェックを有効にして、Online Certificate Status Protocol(OCSP)サーバがユーザによるセキュアでない接続をブロックするようにすることができます。
-
Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、証明書機能は表示されません。
-
両方のコントローラにDNSサーバが設定されている必要があります。これにより、OCSPサーバの完全修飾ドメイン名が使用できるようになります。このタスクは[ハードウェア]ページから実行できます。
-
独自のOCSPサーバを指定する場合は、そのサーバのURLを確認しておく必要があります。
自動失効チェックは、CAが発行した証明書に問題がある場合や、秘密鍵が漏えいした場合に役立ちます。
このタスクでは、OCSPサーバを設定するか、証明書ファイルに指定されているサーバを使用することができます。OCSPサーバは、スケジュールされた有効期限よりも前にCAによって失効された証明書がないかを判断し、証明書が失効している場合は、ユーザによるサイトへのアクセスをブロックします。
-
メニューから[設定][証明書]を選択します。
-
[Trusted]タブを選択します。
また、*Key Management*タブから失効チェックを有効にすることもできます。
-
[一般的でないタスク]をクリックし、ドロップダウンメニューから[失効チェックを有効にする*]を選択します。
-
「失効チェックを有効にする」を選択して、チェックボックスにチェックマークが表示され、ダイアログボックスに追加のフィールドが表示されるようにします。
-
[* OCSPレスポンダのアドレス*]フィールドに、OCSPレスポンダサーバのURLをオプションで入力できます。アドレスを入力しない場合は、証明書ファイルで指定されているOCSPサーバのURLが使用されます。
-
[アドレスのテスト*]をクリックして、指定したURLへの接続をシステムがオープンできることを確認します。
-
[ 保存( Save ) ] をクリックします。
証明書が失効しているサーバにストレージアレイが接続しようとすると、接続は拒否され、イベントがログに記録されます。