Red Hat SummitD.5. Online Certificate Status Manager 固有の ACL
このセクションでは、Online Certificate Status Manager 用に特別に設定されたデフォルトのアクセス制御設定属性を説明します。OCSP レスポンダーの ACL 設定には、「共通 ACL」 に記載の共通 ACL がすべて含まれます。
OCSP の各インターフェイス (管理コンソール、エージェント、およびエンドエンティティーサービスページ) と、CRL のリスト表示やダウンロードなどの一般的な操作に対して、アクセス制御ルールが設定されています。
D.5.1. certServer.ee.crl
エンドエンティティーページから CRL へのアクセスを制御します。
allow (read) user="anybody"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | 証明書失効リストを取得および表示します。 | 許可 | 全ユーザー |
D.5.2. certServer.ee.request.ocsp
クライアントが OCSP 要求を送信する IP アドレスに基づいてアクセスを制御します。
allow (submit) ipaddress=".*"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| submit | OCSP 要求を送信します。 | 許可 | すべての IP アドレス |
D.5.3. certServer.ocsp.ca
OCSP レスポンダーを指示できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (add) group="Online Certificate Status Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| Add | 新しい CA に対する OCSP 要求に応答するように OCSP レスポンダーに指示します。 | 許可 | OCSP Manager エージェント |
D.5.4. certServer.ocsp.cas
CRL を Online Certificate Status Manager に公開するすべての Certificate Manager を、エージェントサービスインターフェイスでリスト表示できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (list) group="Online Certificate Status Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| list | OCSP レスポンダーに CRL を公開する Certificate Manager のリストを表示します。 | 許可 | エージェント |
D.5.5. certServer.ocsp.certificate
証明書のステータスを検証できるユーザーを制御します。デフォルト設定は次のとおりです。
allow (validate) group="Online Certificate Status Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| validate | 指定の証明書の状態を検証します。 | 許可 | OCSP エージェント |
D.5.6. certServer.ocsp.configuration
Certificate Manager の OCSP サービスの設定へのアクセス、表示、または変更が可能なユーザーを制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | OCSP プラグインの情報、OCSP 設定、および OCSP ストア設定を表示します。OCSP ストアの設定をリスト表示します。 | 許可 |
|
| modify | OCSP 設定、OCSP ストア設定、およびデフォルトの OCSP ストアを変更します。 | 許可 | 管理者 |
D.5.7. certServer.ocsp.crl
エージェントサービスインターフェイスを介して CRL の読み取りまたは更新へのアクセスを制御します。デフォルト設定は次のとおりです。
allow (add) group="Online Certificate Status Manager Agents" || group="Trusted Managers"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| add | 新しい CRL を、OCSP レスポンダーが管理するものに追加します。 | 許可 |
|
D.5.8. certServer.ocsp.group
Online Certificate Status Manager インスタンスのユーザーおよびグループを追加するために内部データベースへのアクセスを制御します。
allow (modify,read) group="Administrators"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| modify | インスタンスのユーザーおよびグループエントリーを作成、編集、削除します。 | 許可 | 管理者 |
| read | インスタンスのユーザーおよびグループエントリーを表示します。 | 許可 | 管理者 |
D.5.9. certServer.ocsp.info
OCSP レスポンダーに関する情報を読み取ることができるユーザーを制御します。
allow (read) group="Online Certificate Status Manager Agents"
| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|---|---|---|
| read | OCSP レスポンダー情報を表示します。 | 許可 | OCSP エージェント |
