Workspace ONE Access での証明書認証のための証明書失効チェックの使用

証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。ユーザーが組織を退職した場合、スマートカードを紛失した場合、または別の部門に異動した場合に、証明書が失効されることは多くあります。

証明書失効リスト (CRL) とオンライン証明書ステータスプロトコル (OCSP) 証明書の失効チェックがサポートされます。CRL は、証明書を発行した CA が公開する失効された証明書のリストです。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

同じ証明書認証アダプタの構成で CRL と OCSP の両方を構成できます。両方のタイプの証明書失効チェックを構成し、[OCSP の障害時に CRL を使用する] チェックボックスを有効にしている場合、OCSP が最初にチェックされ、OCSP で障害が発生した場合には、CRL に戻って失効チェックが実行されます。CRL で障害が発生した場合、OCSP に戻って失効チェックが実行されることはありません。

ログインでの CRL チェック

証明書の失効を有効にすると、Workspace ONE Access サーバは CRL を読み取って、ユーザーの証明書の失効ステータスを判断します。

証明書が失効していると、証明書による認証は失敗します。

ログインでの OCSP 証明書チェック

オンライン証明書ステータスプロトコル (OCSP) は、証明書失効チェックを実行するために証明書失効リスト (CRL) に代わって使用できる方法です。

証明書ベースの認証を構成するときに、[証明書の失効を有効にする] と [OCSP の失効を有効にする] の両方が有効になっている場合、Workspace ONE Access はプライマリ、中間およびルート証明書を含む証明書チェーン全体を検証します。チェーン内の証明書のチェックに失敗した場合、または OCSP URL の呼び出しが失敗した場合、失効チェックは失敗します。

OCSP URL は、テキストボックスに手動で入力するか、検証されている証明書の AIA (Authority Information Access) 拡張機能から抽出することができます。

証明書認証を構成するときに選択する OCSP オプションは、Workspace ONE Access が OCSP URL をどのように使用するかを決定します。

[設定のみ]：テキストボックスで指定した OCSP URL を使用して証明書の失効チェックを実行し、証明書チェーン全体を検証します。証明書の AIA 拡張機能の情報は無視します。[OCSP URL] テキストボックスには、失効チェック用の OCSP サーバアドレスも構成する必要があります。
[証明書のみ (必須)]：チェーン内の各証明書の AIA 拡張機能にある OCSP URL を使用して証明書の失効チェックを実行します。[OCSP URL] テキストボックスの設定は無視されます。チェーン内の各証明書には OCSP URL が定義されている必要があります。そうでないと、証明書の失効チェックは失敗します。
[証明書のみ (オプション)]：証明書の AIA 拡張機能にある OCSP URL のみを使用して証明書の失効チェックを実行します。証明書の AIA 拡張機能に OCSP URL がない場合は、失効チェックを実行しません。[OCSP URL] テキストボックスの設定は無視されます。この構成は失効チェックが必要で、一部の中間証明書またはルート証明書には AIA 拡張機能の OCSP URL が含まれていない場合に便利です。
[構成へのフォールバック付き証明書]：OCSP URL が使用可能なときに、チェーン内の各証明書の AIA 拡張機能から抽出された OCSP URL を使用して証明書の失効チェックを実行します。OCSP URL が AIA 拡張機能にない場合は、OCSP URL のテキストボックスで構成した OCSP URL を使用して失効チェックを実行します。OCSP URL のテキストボックスには、OCSP サーバアドレスを設定する必要があります。