証明書失効リスト (CRL)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>証明書で発生する問題]]
* 目次 [#f6ff7c22]
#contents
*概要 [#s0114847]
証明書失効リスト(CRL : Certificate Revocation List)
-[[PKI(公開鍵暗号基盤)]]における失効した(信頼できない)~
公開鍵証明書のリスト(正確には、証明書のシリアル番号のリ...
-実際の運用において証明書や鍵の管理に間違いがありうるため...
CRLや他の証明書の有効性検証技術は[[PKI>PKI(公開鍵暗号基...
-CRLは[[PKI>PKI(公開鍵暗号基盤)]]を使ったアプリケーショ...
証明書の有効性を検証するのに使われる。
-以下は、CRLの発行・公開の方法。
--CRLは定期的に生成され、公開される。
--証明書が失効となった場合、即座にCRLを公開することもでき...
--CRLはCAが適切な証明書付きで発行する。
---たいていのCRLには次回発行予定日時がある。
---この日時は発行日時から 24 時間以内であることが多い。
*失効理由 [#fd00664d]
RFC 5280 で定義されている証明書の失効理由
**Revoked(失効) [#u1532c79]
***認証局 (CA) が [#g2978501]
-不正に証明書を発行したことが判明した場合
-秘密鍵を紛失したと考えられる場合、
証明書は不可逆に失効とされる。
***証明書の発行を受けた者が [#ade7504a]
CAの定めた規則に反する行為(文書偽造など)をしていると判...
***最も多い失効理由 [#i07e6652]
秘密鍵が漏洩してしまい、認証の役に立たなくなった場合。
**Hold(停止) [#k764e2c9]
再度証明書を有効な状態に戻すことができる場合。
例えば、ユーザーが秘密鍵を紛失したか盗まれた可能性がある...
一時的に証明書を停止させ、後日それが間違いで~
誰もその間秘密鍵にアクセスできなかったことが判明した場合~
その場合、その証明書のシリアル番号はCRLから削除される。
*失効のチェック方法 [#oc6c824d]
**CRLファイルをダウンロードしてローカルチェック [#uc7c3a39]
-認証局(CA)から定期的に最新情報が配布されるCRLをダウン...
-証明書のシリアル番号とCRLのシリアル番号を照合して有効性...
**代替手段、OCSPによるオンラインチェック [#g9c719fb]
OCSP : Online Certificate Status Protocol
-X.509公開鍵証明書の失効状態を取得するための通信プロトコル
-CRLファイルのダウンロードの代替手段として策定された。
-デジタル証明書の有効性をリアルタイムで確認できる。
***OCSPクライアント [#o31e73bc]
[[OCSPサーバ( OCSPレスポンダ )>#qbcb18f3]]に対し、~
デジタル証明書の有効性を確認させる。
***OCSPサーバ(OCSPレスポンダ) [#qbcb18f3]
[[検証局 (VA:Validation Authority)>PKI(公開鍵暗号基盤)...
**リアルタイム性の確保 [#w1c92dc9]
***CRL [#g26fe423]
-CRL : Certificate Revocation List
-CRLファイルをダウンロードして照合する方式なので課題も多...
--更新タイミング
--ファイルの保存場所
***OCSP [#tb130bff]
-OCSP : Online Certificate Status Protocol
-OCSPでは、ルート証明書までの証明書チェーンを、~
[[DNSの反復クエリ>DNSサーバ#a04f4c5b]]的にクエリする必要...
***その他のプロトコル [#j93d88e6]
[[DNSの再帰クエリ>DNSサーバ#a04f4c5b]]的に、~
サーバが対応するようなプロトコルが出てきている。
-DPD + DPV
--証明書パス構築 (DPD: Delegated Path Discovery)
--証明書パス検証 (DPV: Delegated Path Validation)
-SCVP~
SCVP:Simple Certificate Validation Protocol
--シンプル証明書検証プロトコル
--有効期限とパスにおける正当性も含めてチェックする。
*参考 [#r5f9e354]
-証明書失効リスト - Wikipedia~
https://ja.wikipedia.org/wiki/%E8%A8%BC%E6%98%8E%E6%9B%B8...
-CRL(証明書失効リスト)とは、OCSPとは~
http://www.infraexpert.com/study/sslserver13.html
-PKI基礎講座(5):証明書の有効性 - @IT~
http://www.atmarkit.co.jp/ait/articles/0102/23/news002.html
**Windowsの場合 [#g8f720fa]
Windowsの場合、Vista、IE7以降でリアルタイム・チェック機能...
-CRL 配布ポイントを指定する~
https://technet.microsoft.com/ja-jp/library/cc753296.aspx
-証明書失効リストの詳細を表示する~
https://technet.microsoft.com/ja-jp/library/cc730795.aspx
**[[証明書信頼リスト (CTL)]] [#r8b7e957]
----
Tags: [[:セキュリティ]], [[:暗号化]], [[:証明書]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>証明書で発生する問題]]
* 目次 [#f6ff7c22]
#contents
*概要 [#s0114847]
証明書失効リスト(CRL : Certificate Revocation List)
-[[PKI(公開鍵暗号基盤)]]における失効した(信頼できない)~
公開鍵証明書のリスト(正確には、証明書のシリアル番号のリ...
-実際の運用において証明書や鍵の管理に間違いがありうるため...
CRLや他の証明書の有効性検証技術は[[PKI>PKI(公開鍵暗号基...
-CRLは[[PKI>PKI(公開鍵暗号基盤)]]を使ったアプリケーショ...
証明書の有効性を検証するのに使われる。
-以下は、CRLの発行・公開の方法。
--CRLは定期的に生成され、公開される。
--証明書が失効となった場合、即座にCRLを公開することもでき...
--CRLはCAが適切な証明書付きで発行する。
---たいていのCRLには次回発行予定日時がある。
---この日時は発行日時から 24 時間以内であることが多い。
*失効理由 [#fd00664d]
RFC 5280 で定義されている証明書の失効理由
**Revoked(失効) [#u1532c79]
***認証局 (CA) が [#g2978501]
-不正に証明書を発行したことが判明した場合
-秘密鍵を紛失したと考えられる場合、
証明書は不可逆に失効とされる。
***証明書の発行を受けた者が [#ade7504a]
CAの定めた規則に反する行為(文書偽造など)をしていると判...
***最も多い失効理由 [#i07e6652]
秘密鍵が漏洩してしまい、認証の役に立たなくなった場合。
**Hold(停止) [#k764e2c9]
再度証明書を有効な状態に戻すことができる場合。
例えば、ユーザーが秘密鍵を紛失したか盗まれた可能性がある...
一時的に証明書を停止させ、後日それが間違いで~
誰もその間秘密鍵にアクセスできなかったことが判明した場合~
その場合、その証明書のシリアル番号はCRLから削除される。
*失効のチェック方法 [#oc6c824d]
**CRLファイルをダウンロードしてローカルチェック [#uc7c3a39]
-認証局(CA)から定期的に最新情報が配布されるCRLをダウン...
-証明書のシリアル番号とCRLのシリアル番号を照合して有効性...
**代替手段、OCSPによるオンラインチェック [#g9c719fb]
OCSP : Online Certificate Status Protocol
-X.509公開鍵証明書の失効状態を取得するための通信プロトコル
-CRLファイルのダウンロードの代替手段として策定された。
-デジタル証明書の有効性をリアルタイムで確認できる。
***OCSPクライアント [#o31e73bc]
[[OCSPサーバ( OCSPレスポンダ )>#qbcb18f3]]に対し、~
デジタル証明書の有効性を確認させる。
***OCSPサーバ(OCSPレスポンダ) [#qbcb18f3]
[[検証局 (VA:Validation Authority)>PKI(公開鍵暗号基盤)...
**リアルタイム性の確保 [#w1c92dc9]
***CRL [#g26fe423]
-CRL : Certificate Revocation List
-CRLファイルをダウンロードして照合する方式なので課題も多...
--更新タイミング
--ファイルの保存場所
***OCSP [#tb130bff]
-OCSP : Online Certificate Status Protocol
-OCSPでは、ルート証明書までの証明書チェーンを、~
[[DNSの反復クエリ>DNSサーバ#a04f4c5b]]的にクエリする必要...
***その他のプロトコル [#j93d88e6]
[[DNSの再帰クエリ>DNSサーバ#a04f4c5b]]的に、~
サーバが対応するようなプロトコルが出てきている。
-DPD + DPV
--証明書パス構築 (DPD: Delegated Path Discovery)
--証明書パス検証 (DPV: Delegated Path Validation)
-SCVP~
SCVP:Simple Certificate Validation Protocol
--シンプル証明書検証プロトコル
--有効期限とパスにおける正当性も含めてチェックする。
*参考 [#r5f9e354]
-証明書失効リスト - Wikipedia~
https://ja.wikipedia.org/wiki/%E8%A8%BC%E6%98%8E%E6%9B%B8...
-CRL(証明書失効リスト)とは、OCSPとは~
http://www.infraexpert.com/study/sslserver13.html
-PKI基礎講座(5):証明書の有効性 - @IT~
http://www.atmarkit.co.jp/ait/articles/0102/23/news002.html
**Windowsの場合 [#g8f720fa]
Windowsの場合、Vista、IE7以降でリアルタイム・チェック機能...
-CRL 配布ポイントを指定する~
https://technet.microsoft.com/ja-jp/library/cc753296.aspx
-証明書失効リストの詳細を表示する~
https://technet.microsoft.com/ja-jp/library/cc730795.aspx
**[[証明書信頼リスト (CTL)]] [#r8b7e957]
----
Tags: [[:セキュリティ]], [[:暗号化]], [[:証明書]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
