証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。ユーザーが組織を退職した場合、スマート カードを紛失した場合、または別の部門に異動した場合に、証明書が失効されることは多くあります。

証明書失効リスト (CRL) とオンライン証明書ステータス プロトコル (OCSP) 証明書の失効チェックがサポートされます。CRL は、証明書を発行した CA が公開する失効された証明書のリストです。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

証明書失効チェックは、証明書認証を構成するときに、管理コンソールの [コネクタ] > [認証アダプタ] > [CertificateAuthAdapter] ページで構成できます。

同じ証明書認証アダプタの構成で CRL と OCSP の両方を構成できます。両方のタイプの証明書失効チェックを構成し、[OCSP の障害時に CRL を使用する] チェックボックスを有効にしている場合、OCSP が最初にチェックされ、OCSP で障害が発生した場合には、CRL に戻って失効チェックが実行されます。 CRL で障害が発生した場合、OCSP に戻って失効チェックが実行されることはありません。

ログインでの CRL チェック

証明書の失効を有効にすると、Directories Management サーバは CRL を読み取って、ユーザーの証明書の失効ステータスを判断します。

証明書が失効していると、証明書による認証は失敗します。

ログインでの OCSP 証明書チェック

証明書ステータス プロトコル (OCSP) による失効チェックを構成すると、Directories Managementは OCSP レスポンダに要求を送信し、特定のユーザー証明書の失効ステータスを判別します。Directories Management サーバは、OCSP 署名証明書を使用して、OCSP レスポンダから受信した応答が正規であるか検証します。

証明書が失効していれば、認証は失敗します。

OSCP レスポンダから応答を受信しない場合や、応答が無効である場合に、CRL に戻ってチェックするように、認証を構成できます。