OCSPを使用してデジタル証明書が有効であることを確認する
変更を提案
PDF
OCSP.2以降でONTAP 9は、オンライン証明書ステータスプロトコル(OCSP)を使用すると、Transport Layer Security(TLS)通信を使用するONTAPアプリケーションがデジタル証明書ステータスを受信できるようになります。OCSPによる証明書のステータスチェックは、特定のアプリケーションについていつでも有効または無効にすることができます。デフォルトでは、OCSPによる証明書のステータスチェックは無効になっています。
このタスクを実行するには、advanced権限レベルのアクセス権が必要です。
OCSPは次のアプリケーションをサポートしています。
-
AutoSupport
-
Event Management System(EMS;イベント管理システム)
-
LDAP over TLS
-
Key Management Interoperability Protocol(KMIP)
-
監査ログ
-
FabricPool
-
SSH(ONTAP 9.13.1以降)
-
権限レベルをadvancedに設定します。
set -privilege advanced -
特定のONTAPアプリケーションでOCSPによる証明書のステータスチェックを有効または無効にするには、該当するコマンドを使用します。
一部のアプリケーションで OCSP による証明書のステータスチェックを有効または無効にする場合 使用するコマンド 有効
security config ocsp enable -appapp name無効にする
security config ocsp disable -appapp name次のコマンドは、AutoSupportおよびEMSのOCSPサポートを有効にします。
cluster::*> security config ocsp enable -app asup,ems
OCSPが有効な場合、アプリケーションは次のいずれかの応答を受信します。
-
Good - 証明書は有効で、通信可能な状態です。
-
Revoked - 証明書は発行元の認証局によって永続的に信頼できないと判断されており、通信不可能な状態です。
-
Unknown - サーバが証明書に関するステータス情報を持っていないため、通信不可能な状態です。
-
OCSP server information is missing in the certificate -サーバはOCSPが無効になっているかのように動作し、TLS通信を続行しますが、ステータスチェックは行われません。
-
No response from OCSP server - アプリケーションを実行できない状態です。
-
-
TLS通信を使用するすべてのアプリケーションでOCSPによる証明書のステータスチェックを有効または無効にするには、該当するコマンドを使用します。
すべてのアプリケーションで OCSP による証明書のステータスチェックを有効または無効にする場合 使用するコマンド 有効
security config ocsp enable-app all無効にする
security config ocsp disable-app all有効にすると、すべてのアプリケーションが、指定された証明書が有効、失効、または不明であることを示す署名付き応答を受信します。証明書が失効している場合は、アプリケーションを続行できません。アプリケーションがOCSPサーバからの応答を受信できない場合、またはサーバに到達できない場合、アプリケーションは続行できません。
-
OCSPをサポートするすべてのアプリケーションとそのサポートステータスを表示するには、コマンドを使用し `security config ocsp show`ます。
cluster::*> security config ocsp show Application OCSP Enabled? -------------------- --------------------- autosupport false audit_log false fabricpool false ems false kmip false ldap_ad true ldap_nis_namemap true ssh true 8 entries were displayed.