Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第4章 Online Certificate Status Protocol

OCSP (Online Certificate Status Protocol) は、Web ブラウザーおよび Web サーバーがセキュアな接続上で通信できるようにする技術です。暗号化したデータは送信側から送信され、処理前に受信側で復号化されます。Web ブラウザーと Web サーバーは、データの暗号化および復号化を行います。

Web サーバーとの通信時に、サーバーは証明書形式でクレデンシャルのセットを表示します。次に、ブラウザーはその証明書が有効かどうかを確認し、証明書のステータス情報の要求を送信します。サーバーは、ステータスを current、expired、または unknown として返信します。証明書は通信の構文を指定し、開始時間、終了時間、OCSP レスポンダーにアクセスするためのアドレス情報などの制御情報が含まれます。Web サーバーは、OCSP レスポンダーまたは証明書に記載されているものを使用して、ステータスを確認できます。OCSP では、期限切れの証明書の猶予期間が許可されます。これにより、証明書更新前の限られた時間内でサーバーにアクセスできます。

OCSP は、証明書失効リスト (CRL) の古いメソッドの制限を解消します。OCSP の詳細は、『Red Hat Certificate System Planning, Installation, and Deployment Guide』を参照してください。

4.1. SSL 接続用の Apache HTTP サーバーの設定
リンクのコピー

  1. 以下のコマンドを使用して mod_ssl をインストールします。 

    # yum install jbcs-httpd24-mod_ssl
    Copy to Clipboard Toggle word wrap

  2. JBCS_HOME/httpd/conf.d/ssl.conf を編集し、ServerNameSSLCertificateFile、および SSLCertificateKeyFile を追加します。 

    <VirtualHost _default_:443>
ServerName www.example.com:443
SSLCertificateFile /opt/rh/jbcs-httpd24/root/etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /opt/rh/jbcs-httpd24/root/etc/pki/tls/private/localhost.key
    Copy to Clipboard Toggle word wrap
    • ServerName は、SSL 証明書の Common Name(CN) と一致する必要があります。ServerName が CN に一致しない場合、クライアントブラウザーはドメイン名不一致エラーを表示します。
    • SSLCertificateFile は、証明書 (公開鍵) に関連付けられた秘密鍵です。
    • 設定に従って、ssl.conf ファイルの Listen ディレクティブが正しいことを確認します。たとえば、IP アドレスが指定されている場合は、httpd サービスがバインドされる IP アドレスと一致する必要があります。

  3. 以下のコマンドを使用して Apache HTTP Server を再起動します。 

    # service jbcs-httpd24-httpd restart
    Copy to Clipboard Toggle word wrap

4.2. Apache HTTP サーバーでの Online Certificate Status Protocol の使用
リンクのコピー

HTTPS に Online Certificate Status Protocol (OCSP) を使用する前に、SSL 接続用に Apache HTTP サーバーを設定 していることを確認してください。

Apache HTTP Server で OCSP を使用するには、認証局 (CA) および OCSP Responder が正しく設定されていることを確認してください。

CA の設定方法の詳細は、『Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide』の「Managing Certificates and Certificate Authorities」を参照してください。

OCSP Responder の設定方法の詳細は、『Red Hat Enterprise Linux 7 Linux Domain Identity, Authentication, and Policy Guide』の「Configuring OCSP Responders」を参照してください。

注記

認証局が OCSP 証明書を発行できることを確認します。認証局は、次の属性を証明書に追加できる必要があります。 

[ usr_cert ]
...
authorityInfoAccess=OCSP;URI:http://HOST:PORT
...
[ v3_OCSP ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = OCSP Signing
Copy to Clipboard Toggle word wrap

HOST および PORT は、設定する OCSP レスポンダーの詳細に置き換える必要があります。

4.3. OCSP 証明書を検証する Apache HTTP Server の設定
リンクのコピー

Apache HTTP Server を設定して OCSP 証明書を検証する前に、認証局 (CA) と OCSP Responder が正しく設定されていることを確認してください。以下の例は、クライアント証明書の OCSP 検証を有効にする方法を示しています。

SSLOCSPEnable 属性を使用して OCSP 検証を有効にします。 

# Require valid client certificates (mutual auth)
  SSLVerifyClient require
  SSLVerifyDepth  3
  # Enable OCSP
  SSLOCSPEnable on
  SSLOCSPDefaultResponder http://10.10.10.25:3456
  SSLOCSPOverrideResponder on
Copy to Clipboard Toggle word wrap

4.4. OCSP 設定の確認
リンクのコピー

OpenSSL コマンドラインツールを使用して、設定を検証できます。 

# openssl ocsp -issuer cacert.crt -cert client.cert -url http://HOST:PORT -CA ocsp_ca.cert -VAfile ocsp.cert
Copy to Clipboard Toggle word wrap
  • -issuer は認証局の証明書です。
  • -cert は検証する必要のあるクライアント証明書です。
  • -url は、HTTP サーバー検証証明書 (OCSP) です。
  • -CA は、Apache HTTP Server サーバー証明書を検証する CA 証明書です。
  • -VAfile は OCSP レスポンダー証明書です。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat