ONTAPでOCSPを使用してデジタル証明書が有効であることを確認する
変更を提案
PDF
Online Certificate Status Protocol(OCSP)により、Transport Layer Security(TLS)通信を使用するONTAPアプリケーションは、OCSPが有効になっている場合にデジタル証明書ステータスを受信できます。特定のアプリケーションに対するOCSP証明書ステータスチェックは、いつでも有効または無効にできます。デフォルトでは、OCSP証明書ステータスチェックは無効になっています。
このタスクを実行するには、advanced権限レベルのアクセス権が必要です。
OCSPは、次のアプリケーションでサポートされています。
-
AutoSupport
-
イベント管理システム(Event Management System(EMS))
-
LDAP over TLS
-
Key Management Interoperability Protocol(KMIP)
-
監査ログ
-
FabricPool
-
SSH(ONTAP 9.13.1以降)
-
権限レベルを詳細に設定します:
set -privilege advanced -
特定のアプリケーションでOCSPによる証明書のステータス チェックを有効または無効にするには、次の該当するコマンドを使用します。
一部のアプリケーションに対して OCSP 証明書ステータス チェックを実行する場合は… 使用するコマンド 有効
security config ocsp enable -appapp name無効
security config ocsp disable -appapp name次のコマンドは、AutoSupportおよびEMSのOCSPサポートを有効にします。
cluster::*> security config ocsp enable -app asup,ems
OCSPを有効にすると、アプリケーションは次のいずれかの応答を受信します。
-
Good - 証明書は有効で、通信可能な状態です。
-
Revoked - 証明書は発行元の認証局によって永続的に信頼できないと判断されており、通信不可能な状態です。
-
Unknown - サーバが証明書に関するステータス情報を持っていないため、通信不可能な状態です。
-
OCSP server information is missing in the certificate - TLS通信は続行していますが、サーバでOCSPが無効であると判断されているため、ステータス チェックは実行されません。
-
No response from OCSP server - アプリケーションを実行できない状態です。
-
-
TLSを使用するすべてのアプリケーションでOCSPによる証明書のステータス チェックを有効または無効にするには、次の該当するコマンドを使用します。
すべてのアプリケーションに対して OCSP 証明書ステータス チェックを実行する場合は… 使用するコマンド 有効
security config ocsp enable-app all無効
security config ocsp disable-app allこの機能を有効にした場合は、すべてのアプリケーションで証明書のステータス(good、revoked、またはunknown)が署名された応答を受信します。証明書のステータスがrevokedの場合は、アプリケーションは実行できません。アプリケーションがOCSPサーバから応答を受信できない、またはOCSPサーバにアクセスできない場合も、アプリケーションは実行できません。
-
`security config ocsp show`コマンドを使用して、OCSPをサポートするすべてのアプリケーションとそのサポート ステータスを表示します。
cluster::*> security config ocsp show Application OCSP Enabled? -------------------- --------------------- autosupport false audit_log false fabricpool false ems false kmip false ldap_ad true ldap_nis_namemap true ssh true 8 entries were displayed.