証明書失効リスト (CRL) のバックアップ差分(No.5) - マイクロソフト系技術情報 Wiki

バックアップ一覧
現在との差分を表示
ソースを表示
バックアップを表示
証明書失効リスト (CRL) へ行く。
- 1 (2016-01-03 (日) 13:32:29)
- 2 (2016-01-03 (日) 14:15:51)
- 3 (2016-01-26 (火) 19:12:08)
- 4 (2017-01-12 (木) 14:51:32)
- 5 (2017-02-02 (木) 17:19:44)
- 6 (2017-03-27 (月) 15:13:24)
- 7 (2019-10-29 (火) 21:16:18)
- 8 (2019-10-30 (水) 21:08:17)
- 9 (2020-10-13 (火) 02:14:39)

追加された行はこの色です。
削除された行はこの色です。

[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]

-[[戻る>証明書で発生する問題]]

* 目次 [#f6ff7c22]
#contents

*概要 [#s0114847]
証明書失効リスト（CRL : Certificate Revocation List）

公開鍵基盤 (PKI) における失効した（信頼できない）公開鍵証明書のリスト（正確には、証明書のシリアル番号のリスト）。
-公開鍵基盤 (PKI) における失効した（信頼できない）公開鍵証明書のリスト（正確には、証明書のシリアル番号のリスト）。

実際の運用において証明書や鍵の管理に間違いがありうるため、CRLや他の証明書の有効性検証技術はPKIに必須。
-実際の運用において証明書や鍵の管理に間違いがありうるため、CRLや他の証明書の有効性検証技術はPKIに必須。

-CRLはPKIを使ったアプリケーションが証明書の有効性を検証するのに使われる。

-CRLの発行・公開
-以下は、CRLの発行・公開の方法。
--CRLは定期的に生成され、公開される。
--証明書が失効となった場合、即座にCRLを公開することもできる。
--CRLはCAが適切な証明書付きで発行する。
---たいていのCRLには次回発行予定日時がある。
---この日時は発行日時から 24 時間以内であることが多い。


*失効理由 [#fd00664d]
RFC 5280 で定義されている証明書の失効理由

**Revoked（失効） [#u1532c79]
***認証局 (CA) が [#g2978501]
-不正に証明書を発行したことが判明した場合
-秘密鍵を紛失したと考えられる場合、

証明書は不可逆に失効とされる。

***証明書の発行を受けた者が [#ade7504a]
CAの定めた規則に反する行為（文書偽造など）をしていると判明した場合。

***最も多い失効理由 [#i07e6652]
秘密鍵が漏洩してしまい、認証の役に立たなくなった場合。

**Hold（停止） [#k764e2c9]
再度証明書を有効な状態に戻すことができる場合。

例えば、ユーザーが秘密鍵を紛失したか盗まれた可能性がある場合

一時的に証明書を停止させ、後日それが間違いで~
誰もその間秘密鍵にアクセスできなかったことが判明した場合~
その場合、その証明書のシリアル番号はCRLから削除される。

*失効のチェック方法 [#oc6c824d]
**CRLファイルをダウンロードしてローカルチェック [#uc7c3a39]
-認証局（CA）から定期的に最新情報が配布されるCRLをダウンロード。
-証明書のシリアル番号とCRLのシリアル番号を照合して有効性を確認。

**OCSP（Online Certificate Status Protocol）によるオンラインチェック [#g9c719fb]
OCSPクライアントが~
OCSPサーバ（ OCSPレスポンダ ）に対して~
デジタル証明書の有効性を確認させる。

-X.509公開鍵証明書の失効状態を取得するための通信プロトコル
-CRLファイルのダウンロードの代替手段として策定された。
-デジタル証明書の有効性をリアルタイムで確認できる。

***OCSPサーバ（OCSPレスポンダ） [#qbcb18f3]
CA自身やCRLを集中管理するVAが運営する。

-VA（Validation Authority）
--デジタル証明書の失効リストを集中管理して証明書の有効性をチェックするシステム。
--認証局（CA）とは異なり、デジタル証明書の発行は行わずに検証機能に特化している。

*Windowsの場合 [#g8f720fa]
-CRL 配布ポイントを指定する~
https://technet.microsoft.com/ja-jp/library/cc753296.aspx
-証明書失効リストの詳細を表示する~
https://technet.microsoft.com/ja-jp/library/cc730795.aspx

*[[証明書信頼リスト (CTL)]] [#r8b7e957]

*参考 [#r5f9e354]
-証明書失効リスト - Wikipedia~
https://ja.wikipedia.org/wiki/%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%A4%B1%E5%8A%B9%E3%83%AA%E3%82%B9%E3%83%88

-CRL（証明書失効リスト）とは、OCSPとは~
http://www.infraexpert.com/study/sslserver13.html

-PKI基礎講座（5）：証明書の有効性 - ＠IT~
http://www.atmarkit.co.jp/ait/articles/0102/23/news002.html

----
Tags: [[:セキュリティ]], [[:暗号化]], [[:証明書]]