自由気ままに書いちゃおう

好きなことをつらつらと・・・

CRL(証明書失効リスト)

■前置き

サーバ証明書、およびクライアント証明書には期限が設けられており、期限の管理はCAで行われている。
 
■CRLについて
CRLはサーバ証明書/クライアント証明書が有効期限を迎える前に、あえて無効(=失効)させた証明書(のシリアル番号)が記載されている。
無効/失効させる理由は以下の通り。
 ・CAによる証明書の誤発行の場合
 ・証明書に使われているCAの秘密鍵が盗難された場合
 ・CSRの送信元から、無効/失効届を受領した場合
 
■サーバ証明書処理時のCRLの動作
クライアントがサーバにアクセス時に受け取るサーバ証明書の有効性を確認する場合、
クライアント側が目に見える形で意識することはないが、
裏ではCRLが定期的にクライアント側(例えばPCに)ダウンロードされ、サーバ証明書の有効性を確認している。
 
■クライアント証明書処理時のCRLの動作
例えば、SSLを終端しているのがBIG-IPの場合、
事前にBIG-IPにCRLを(定期的に)ダウンロードしておく必要がある。
(定期的に)ダウンロードしておくことで、クライアント証明書の有効性を確認している。
 
尚、BIG-IPのクライアント証明書の設定にかかわる部分は
Local Traffic > Virtual Servers > Profiles > SSL:Client の
「Client Authentication」欄にて行う。