Carbon Black は、証明書チェーン ファイルを使用して適切な OCSP ステープリングを実行します。

任意のオンライン証明書チェーン コンポーザを使用して Certificate Chain Composer を生成できます。例: KeyCDN Tools。次の手順は、Certificate Chain Composer を使用して証明書チェーンを作成する例です。

手順

  1. 任意のエディタで証明書 sgw_certificate.pem を編集し、-----BEGIN CERTIFICATE----------END CERTIFICATE----- と一緒にすべてのコンテンツをコピーします。
    証明書にすでにチェーンがある場合は、最初に発生した -----BEGIN CERTIFICATE----------END CERTIFICATE----- のみをコピーします。
  2. Certificate Chain Composer サイトのテキスト ボックスにコンテンツを貼り付け、[作成] をクリックします。
    このツールは、独自の証明書と証明書の署名に使用されるすべての証明書のチェーン全体を生成します。画面の下半分に証明書チェーンが表示されます。
  3. コンテンツ全体をコピーし、任意のエディタに貼り付けます。
    注: -----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- の証明書内のセクションに対応するセクションを削除します。
  4. sgw_chain.pem ファイルとして保存します。
  5. Sensor Gateway をホストしているサーバの /data/certs ディレクトリに sgw_chain.pem ファイルをコピーします。
  6. Sensor Gateway で OCSP Stapling が正しく動作するようにするには、次のコマンドを実行します。
    1. openssl x509 -noout -ocsp_uri -in sgw_certificate.pem
      証明書の OCSP レスポンダ URL を出力します。
    2. openssl ocsp -issuer sgw_chain.pem -cert sgw_certificate.pem -verify_other sgw_chain.pem -CAfile sgw_chain.pem -no_nonce -url <前のコマンドの OCSP レスポンダ URL>
      OCSP レスポンダからの応答を出力します。たとえば、
      sgw_certificate.pem: good
      This Update: Jul 18 15:35:01 2023 GMT
      Next Update: Jul 25 15:35:00 2023 GMT

    応答がない場合は、ネットワーク接続/ファイアウォール構成を確認して、OCSP 応答が OCSP レスポンダから受信されていることを確認できます。