6.3. CRL の実行
pkiconsole の CRL 発行ポイントを設定するためのタブが壊れており、“submit” に応答しません。pkiconsole は非推奨となっています。インストール時に CA の CS.cfg を直接編集するか、代替の pki cli メソッドを使用してパラメーターを設定してください。以下はその例です。
# pki-server ca-config-set -i rhcs10-RSA-RootCA <param name> <param value>関連する設定パラメーターの名前と値のペアについては、「計画、インストール、デプロイメントのガイド (Common Criteria Edition)」のセクション 7.3.8「CRL 配布ポイントのサポートを設定する」を参照してください。
- Certificate Manager は、その CA 署名証明書キーを使用して CRL に署名します。CRL に個別の署名キーペアを使用するには、CRL 署名キーを設定し、このキーを使用して CRL に署名するように Certificate Manager の設定を変更します。詳細は、「CRL の署名に各種証明書を使用するための CA 設定」 を参照してください。
CRL 発行ポイントの設定発行ポイントは、マスター CRL に対してすでにセットアップされ、有効にされています。
図6.3 デフォルトの CRL 発行ポイント
CRL の追加の発行ポイントを作成できます。詳細は、「発行ポイントの設定」 を参照してください。
発行ポイントを設定して CRL のリストを定義するときに設定したオプションに応じて、発行ポイントが作成できる CRL には 5 つのタイプがあります。
- マスター CRL には、CA 全体から失効した証明書のリストが含まれます。
- ARL は、失効した CA 証明書のみが含まれる Authority Revocation List です。
- 期限切れの証明書を持つ CRL には、CRL で有効期限が切れた証明書が含まれます。
- 証明書プロファイルの CRL は、最初に証明書を作成するために使用されるプロファイルに基づいて、失効した証明書を判別します。
- 理由コードによる CRL は、失効した理由コードに基づいて、失効した証明書を判別します。
- 各発行ポイントに CRL を設定します。詳細は、「各発行ポイントの CRL の設定」 を参照してください。
- 発行ポイントに設定された CRL 拡張機能を設定します。詳細は、「CRL 拡張機能の設定」 を参照してください。
-
発行ポイントの拡張を有効にすることにより、発行ポイントにデルタ CRL を設定するか、または発行ポイント
DeltaCRLIndicatorまたはCRLNumberの拡張を有効にします。 -
発行先に関する情報が含まれるように
CRLDistributionPoint拡張を設定します。 - ファイル、LDAP ディレクトリー、または OCSP レスポンダーへの公開 CRL を設定します。公開の設定の詳細は、7章証明書および CRL の公開 を参照してください。
6.3.1. 発行ポイントの設定
発行ポイントは、新しい CRL に含まれる証明書を定義します。マスター CRL 発行ポイントは、Certificate Manager の失効した証明書のリストを含むマスター CRL 用にデフォルトで作成されます。
新規の発行ポイントを作成するには、以下の手順を実施します。
Certificate System コンソールの起動
pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
注記pkiconsoleは非推奨となり、今後のメジャーリリースで新しいブラウザーベースの UI に置き換えられます。pkiconsoleは代替 UI がリリースされるまで引き続き使用できますが、今後新しいブラウザーベースの UI が使用可能になった場合でも pki CLI のサポートおよび改良は継続されるため、現時点ではpkiconsoleに相当するコマンドラインの使用が推奨されます。- Configuration タブで、左側のナビゲーションメニューから Certificate Manager をデプロイメントします。次に、CRL Issuing Points を選択します。
発行ポイントを編集するには、発行ポイントを選択して、 をクリックします。編集できるパラメーターは、発行ポイントの名前と、発行ポイントが有効か無効かだけです。
発行ポイントを追加するには、 をクリックします。CRL Issuing Point エディターウインドウが開きます。
図6.4 CRL Issuing Point エディター
注記一部のフィールドがコンテンツを読み取るのに十分な大きさで表示されない場合は、コーナーの 1 つをドラッグしてウィンドウを拡大します。
以下のフィールドに入力します。
- Enable。選択した場合は発行ポイントを有効にします。無効にする場合は選択を解除します。
- CRL Issuing Point name。発行ポイントの名前を指定します。スペースは使用できません。
- Description。発行ポイントを説明します。
- をクリックします。
新しい発行ポイントを表示して設定するには、CA コンソールを閉じ、その後にコンソールを再度開きます。新しい発行ポイントは、ナビゲーションツリーの CRL Issuing Points エントリーの下にリスト表示されます。
新しい発行ポイントに CRL を設定し、CRL と使用する CRL 拡張機能を設定します。発行ポイントの設定に関する詳細は、「各発行ポイントの CRL の設定」 を参照してください。CRL 拡張の設定に関する詳細は、「CRL 拡張機能の設定」 を参照してください。作成された CRL はすべて、エージェントサービスページの Update Revocation List ページに表示されます。
6.3.2. 各発行ポイントの CRL の設定
生成間隔、CRL バージョン、CRL 拡張、署名アルゴリズムなどの情報はすべて、発行ポイントの CRL 用に設定できます。CRL は発行ポイントごとに設定する必要があります。
CA コンソールを開きます。
pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
注記pkiconsoleは非推奨となり、今後のメジャーリリースで新しいブラウザーベースの UI に置き換えられます。pkiconsoleは代替 UI がリリースされるまで引き続き使用できますが、今後新しいブラウザーベースの UI が使用可能になった場合でも pki CLI のサポートおよび改良は継続されるため、現時点ではpkiconsoleに相当するコマンドラインの使用が推奨されます。- ナビゲーションツリーで、Certificate Manager を選択し、CRL Issuing Points を選択します。
- Issuing Points エントリーの下にある発行ポイント名を選択します。
発行ポイントの Update タブに情報を指定して、CRL の更新方法および頻度を設定します。このタブには、Update Schema および Update Frequency の 2 つのセクションがあります。
Update Schema セクションには以下のオプションが含まれます。
- Enable CRL generation。このチェックボックスは、発行ポイントに CRL が生成されるかどうかを設定します。
- Generate full CRL every # delta(s)。このフィールドは、変更の数に関連して CRL が作成された頻度を設定します。
-
Extend next update time in full CRLs。これにより、生成された CRL に
nextUpdateフィールドを設定するオプションが提供されます。nextUpdateパラメーターは、フル CRL かデルタ CRL かにかかわらず、次の CRL が発行される日付を示します。フル CRL とデルタ CRL の組み合わせを使用している場合は、Extend next update time in full CRLsを有効にすると、フル CRL のnextUpdateパラメーターに次の フル CRL が発行されるタイミングを表示させることができます。それ以外の場合、フル CRL のnextUpdateパラメーターは、そのデルタが次に発行される CR L になるため、次の デルタ CRL がいつ発行されるかを示します。
Update Frequency セクションでは、CRL が生成されてディレクトリーに発行される間隔を設定します。
Every time a certificate is revoked or released from hold。これにより、証明書を取り消すたびに Certificate Manager が CRL を生成するよう設定されます。Certificate Manager は、CRL が生成されるたびに、設定されたディレクトリーに CRL を発行しようとします。CRL の生成は、CRL のサイズが大きい場合に消費できます。証明書が取り消されるたびに CRL を生成するように Certificate Manager を設定すると、サーバーがかなりの時間使用される可能性があります。この間、サーバーは受け取った変更でディレクトリーを更新できなくなります。
この設定は、標準的なインストールには推奨されません。このオプションは、サーバーが CRL をフラットファイルに発行したかどうかのテストなど、すぐに失効をテストするために選択する必要があります。
Update the CRL at。このフィールドは、CRL を更新する必要がある毎日の時間を設定します。複数の時間を指定するには、
01:50,04:55,06:55のように、コンマで区切った時間のリストを入力します。複数日のスケジュールを入力するには、コンマ区切りのリストを入力して同じ日の時間を設定し、セミコロンで区切ったリストを入力して異なる日の時間を識別します。たとえば、これは、サイクルの 1 日目の午前 1:50、4:55、および 6:55、そして 2 日目の午前 2:00、5:00、および午後 5:00 に失効を設定します。01:50,04:55,06:55;02:00,05:00,17:00
Update the CRL every。このチェックボックスでは、フィールドに設定された間隔で CRL を生成できます。たとえば、毎日 CRL を発行するには、チェックボックスを選択して、このフィールドに
1440を入力します。- Next update grace period。Certificate Manager が特定の頻度で CRL を更新する場合、サーバーは、CRL を作成して発行する時間を確保するために、次の更新時間までの猶予期間を持つように設定できます。たとえば、サーバーが 2 分の猶予期間で 20 分ごとに CRL を更新するように設定されていて、CRL が 16:00 に更新された場合、CRL は 16:18 に再更新されます。
-
Next update as this update extension。このフィールド (
CS.cfgのca.crl.MasterCRL.nextAsThisUpdateExtension) は、次のフル CRL 更新の時間間隔を設定します。現在の更新時間から更新間隔を延長します。この更新延長後の次回の更新が次回の更新猶予期間よりも短い場合、次回の更新は予定通りに行われます。それより長い場合、次回の更新時間は ("延長" 時間 + 猶予期間) に設定されます。たとえば、CRL が 3 分ごとに更新するように設定されており、この更新延長により次回の更新が 60 分、猶予期間が 1 分、現在の更新が 5:30 AM の場合、次の更新は午前 6:31 (現在の更新から 60 分後) にスケジュールされます。
重要既知の問題により、現在フルおよびデルタの証明書失効リストのスケジュールを設定している場合、Update CRL every time a certificate is revoked or released from hold オプションでも、2 つの grace period 設定を記入する必要があります。したがって、このオプションを選択するには、まず Update CRL every オプションを選択し、Next update grace period # minutes ボックスに数値を入力する必要があります。
Cache タブは、キャッシュが有効であるかどうか、およびキャッシュ頻度を設定します。
図6.5 CRL キャッシュタブ
- Enable CRL cache。このチェックボックスは、デルタ CRL の作成に使用されるキャッシュを有効にします。キャッシュが無効になっている場合は、デルタ CRL は作成されません。キャッシュの詳細は、「証明書の取り消しについて」 を参照してください。
-
Update cache every。このフィールドは、キャッシュが内部データベースに書き込む頻度を設定します。証明書が取り消されるたびに、キャッシュをデータベースに書き出すには、
0に設定します。 - Enable cache recovery。このチェックボックスを選択すると、キャッシュを復元できます。
- Enable CRL cache testing。このチェックボックスは、特定の CRL 発行ポイントの CRL パフォーマンステストを有効にします。このオプションで生成された CRL は、デプロイした CA では使用しないでください。テスト目的で発行された CRL には、パフォーマンステストのみを目的として生成されたデータが含まれているためです。
Format タブでは、作成される CRL のフォーマットおよびコンテンツを設定します。CRL Format および CRL Contents の 2 つのセクションがあります。
図6.6 CRL 形式タブ
CRL Format セクションには、以下の 2 つのオプションがあります。
Revocation list signing algorithm は、CRL 暗号化を行うために許可された暗号のドロップダウンリストです。
注記SHA1 はサポート対象外となりました。
Allow extensions for CRL v2 は、発行ポイントの CRL v2 拡張を有効にするチェックボックスです。これが有効になっている場合は、「CRL 拡張機能の設定」 で説明されている必要な CRL 拡張を設定します。
注記CRL を作成するには、拡張機能を有効にする必要があります。
CRL Contents セクションには、CRL に追加する証明書のタイプを設定する 4 つのチェックボックスがあります。
- Include expired certificates。期限切れになった証明書が含まれます。これを有効にすると、失効した証明書に関する情報は、証明書の期限が切れた後も CRL に残ります。これが有効になっていないと、証明書の有効期限が切れると、失効した証明書に関する情報が削除されます。
- Include revoked certificates one extra time after their expiration。失効した証明書の有効期限が切れた後に一度だけリスト化することが含まれています。これにより、失効した証明書の情報が次の更新まで CRL に保持され、有効期限が切れた後でもシステムが証明書のステータスを認識して管理するための追加の時間が確保されます。
- CA certificates only。これには、CRL の CA 証明書のみが含まれます。このオプションを選択すると、失効した CA 証明書のみをリスト表示する Authority Revocation List (ARL) が作成されます。
- Certificates issued according to profiles。これには、リストされたプロファイルに従って発行された証明書のみが含まれます。複数のプロファイルを指定するには、コンマ区切りのリストを入力します。
- をクリックします。
- この発行ポイントでは、拡張機能は可能で、設定できます。詳細は、「CRL 拡張機能の設定」 を参照してください。
6.3.3. CRL 拡張機能の設定
発行ポイントに対して Allow extensions for CRLs v2 チェックボックスが選択されている場合にのみ、その発行ポイントに拡張機能を設定する必要があります。
発行ポイントが作成されると、3 つの拡張機能 (CRLReason、InvalidityDate、および CRLNumber) が自動的に有効になります。その他の拡張は利用できますが、デフォルトで無効になっています。これは、有効化および変更できます。利用可能な CRL 拡張の詳細は、「標準 X.509 v3 CRL 拡張機能のリファレンス」 を参照してください。
CRL 拡張機能を設定するには、以下を行います。
CA コンソールを開きます。
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca注記pkiconsoleは非推奨となり、今後のメジャーリリースで新しいブラウザーベースの UI に置き換えられます。pkiconsoleは代替 UI がリリースされるまで引き続き使用できますが、今後新しいブラウザーベースの UI が使用可能になった場合でも pki CLI のサポートおよび改良は継続されるため、現時点ではpkiconsoleに相当するコマンドラインの使用が推奨されます。- ナビゲーションツリーで、Certificate Manager を選択し、CRL Issuing Points を選択します。
Issuing Points エントリーの下にある発行ポイント名を選択し、発行ポイントの下にある CRL Extension エントリーを選択します。
右側のペインには、設定された拡張機能をリスト表示する CRL Extensions Management タブが表示されます。
図6.7 CRL 拡張機能
- ルールを変更するには、ルールを選択し、 をクリックします。
- ほとんどの拡張には 2 つのオプションがあり、有効にして、重要なかどうかを設定します。詳細情報が必要なものもあります。必要な値をすべて指定します。各拡張機能と拡張機能のパラメーターに関する詳細は、「標準 X.509 v3 CRL 拡張機能のリファレンス」 を参照してください。
- をクリックします。
- をクリックし、すべてのルールの更新されたステータスを表示します。
6.3.4. CRL の署名に各種証明書を使用するための CA 設定
CS.cfg ファイルを編集してこの機能を設定する方法については、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 9.2.3.10 CRL の署名に各種証明書を使用するための CA 設定 を参照してください。
6.3.5. キャッシュからの CRL の生成
デフォルトで、CRL は CA の内部データベースから生成されます。ただし、証明書が取り消されてメモリーに保持されるため、失効情報を収集できます。その後、この失効情報を使用して、メモリーから CRL を更新できます。内部データベースから CRL を生成するために必要なデータベース検索を省略すると、パフォーマンスが大幅に改善されます。
キャッシュから CRL を生成する際のパフォーマンスの向上により、ほとんどの環境で enableCRLCache パラメーターが有効になります。ただし、Enable CRL cache testing パラメーターは、実稼働環境では 有効にしないでください。
コンソールでキャッシュからの CRL 生成を設定する
コンソールを開きます。
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca注記pkiconsoleは非推奨となり、今後のメジャーリリースで新しいブラウザーベースの UI に置き換えられます。pkiconsoleは代替 UI がリリースされるまで引き続き使用できますが、今後新しいブラウザーベースの UI が使用可能になった場合でも pki CLI のサポートおよび改良は継続されるため、現時点ではpkiconsoleに相当するコマンドラインの使用が推奨されます。- Configuration タブで、Certificate Manager フォルダーと CRL Issuing Points サブフォルダーを展開します。
MasterCRL ノードを選択します。
Enable CRL cache を選択します。
- 変更を保存します。
CS.cfg でキャッシュからの CRL 生成を設定する
CS.cfg ファイルを編集してこの機能を設定する方法については、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 9.2.3.11 CS.cfg でキャッシュからの CRL 生成を設定する を参照してください。
