CRL 검사를 사용하여 로그인

인증서 해지를 사용하도록 설정한 경우 Workspace ONE Access 서버는 CRL을 읽어서 사용자 인증서의 해지 상태를 확인합니다.

인증서가 해지된 경우 인증서를 통한 인증이 실패합니다.

OCSP 인증서 검사를 사용하는 상태에서 로그인

OCSP(온라인 인증서 상태 프로토콜)는 인증서 해지 검사를 수행하는 데 사용되는 CRL(인증서 해지 목록)의 대안입니다.

인증서 기반 인증을 구성할 때 [인증서 해지 사용] 및 [OCSP 해지 사용]을 둘 다 설정한 경우 Workspace ONE Access는 기본, 중간 및 루트 인증서를 포함하는 전체 인증서 체인의 유효성을 검사합니다. 체인의 어느 한 인증서의 검사라도 실패하거나 OCSP URL 호출이 실패하면 해지 검사가 실패합니다.

OCSP URL은 텍스트 상자에서 수동으로 구성하거나, 유효성을 검사하는 인증서의 AIA(Authority Information Access) 확장에서 추출할 수 있습니다.

인증서 인증을 구성할 때 선택한 OCSP 옵션에 따라 Workspace ONE Access에서 OCSP URL을 사용하는 방법이 결정됩니다.

• 구성만. 전체 인증서 체인이 유효한지 검사하려면 텍스트 상자에 제공된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. 인증서의 AIA 확장에 포함된 정보는 무시합니다. 해지 검사를 위해서는 OCSP URL 텍스트 상자도 OCSP 서버 주소로 구성해야 합니다.
• 인증서만(필수). 체인에 있는 각 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL 텍스트 상자의 설정은 무시됩니다. 체인에 있는 모든 인증서에 OCSP URL이 정의되어야 하며, 그렇지 않은 경우 인증서 해지 검사가 실패합니다.
• 인증서만(선택 사항). 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사만 수행합니다. OCSP URL이 인증서 AIA 확장에 존재하지 않는 경우 해지를 검사하지 않습니다. OCSP URL 텍스트 상자의 설정은 무시됩니다. 이 구성은 해지 검사를 원할 때는 유용하지만, 일부 중간 또는 루트 인증서의 AIA 확장에 OCSP URL이 포함되어 있지 않습니다.
• 구성에 대한 폴백이 포함된 인증서. OCSP URL을 사용할 수 있는 경우, 체인에 있는 각 인증서의 AIA 확장에서 추출된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL이 AIA 확장에 없는 경우 OCSP URL 텍스트 상자에 구성된 OCSP URL을 사용하여 해지를 검사합니다. OCSP URL 텍스트 상자는 OCSP 서버 주소로 구성되어야 합니다.