Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

OCSP を使用してデジタル証明書が有効であることを確認します

共同作成者

ONTAP 9.2 以降では、 Online Certificate Status Protocol ( OCSP )を有効にすることで、 Transport Layer Security ( TLS )通信を使用する ONTAP アプリケーションでデジタル証明書のステータスを受信できます。OCSP による証明書のステータスチェックは、特定のアプリケーションに対していつでも有効または無効にできます。デフォルトでは、 OCSP による証明書のステータスチェックは無効になっています。

必要なもの

このタスクを実行するには、advanced権限レベルのアクセス権が必要です。

このタスクについて

OCSP は、次のアプリケーションをサポートしています。

  • AutoSupport

  • イベント管理システム( EMS )

  • LDAP over TLS

  • Key Management Interoperability Protocol ( KMIP )

  • 監査ログ

  • FabricPool

  • SSH(ONTAP 9.13.1以降)

手順
  1. 権限レベルを advanced に設定します。 set -privilege advanced

  2. 特定の ONTAP アプリケーションで OCSP による証明書のステータスチェックを有効または無効にするには、次の該当するコマンドを使用します。

    一部のアプリケーションで OCSP による証明書のステータスチェックを有効または無効にする場合 使用するコマンド

    有効

    security config ocsp enable -app app name

    無効

    security config ocsp disable -app app name

    次のコマンドは、 AutoSupport および EMS の OCSP サポートを有効にします。

    cluster::*> security config ocsp enable -app asup,ems

    OCSP を有効にすると、アプリケーションは次のいずれかの応答を受信します。

    • Good - 証明書は有効で、通信可能な状態です。

    • Revoked - 証明書は発行元の認証局によって永続的に信頼できないと判断されており、通信不可能な状態です。

    • Unknown - サーバが証明書に関するステータス情報を持っていないため、通信不可能な状態です。

    • OCSP server information is missing in the certificate - TLS 通信は続行していますが、サーバで OCSP が無効であると判断されているため、ステータスチェックは実行されません。

    • No response from OCSP server - アプリケーションを実行できない状態です。

  3. TLS を使用するすべてのアプリケーションで OCSP による証明書のステータスチェックを有効または無効にするには、次の該当するコマンドを使用します。

    すべてのアプリケーションで OCSP による証明書のステータスチェックを有効または無効にする場合 使用するコマンド

    有効

    security config ocsp enable

    -app all

    無効

    security config ocsp disable

    -app all

    有効にすると、指定した証明書が「有効」、「失効」、「不明」のいずれであるかを示す署名済みの応答が、すべてのアプリケーションに送信されます。証明書のステータスが revoked の場合は、アプリケーションは実行できません。アプリケーションが OCSP サーバから応答を受信できない場合、または OCSP サーバにアクセスできない場合、アプリケーションは続行できません。

  4. を使用します security config ocsp show コマンドを使用して、OCSPをサポートするすべてのアプリケーションとそのサポートステータスを表示します。

    cluster::*> security config ocsp show
             Application                        OCSP Enabled?
             --------------------               ---------------------
             autosupport                        false
             audit_log                          false
             fabricpool                         false
             ems                                false
             kmip                               false
             ldap_ad                            true
             ldap_nis_namemap                   true
             ssh                                true
    
             8 entries were displayed.