OCSPホチキス止め
CRLとOCSPのCitrix ADC実装では,クライアント証明書の失効状態のみが報告されます。SSL.ハンドシェイク中に受信したサーバー証明書の失効ステータスを確認するには、クライアントが認証局に要求を送信する必要があります。
トラフィックの多いウェブサイトでは,多くのクライアントが同じサーバー証明書を受け取ります。各クライアントがサーバー証明書の失効状態に関するクエリを送信した場合,証明書の有効性を確認するためのOCSP要求が証明機関に浸水されます。
OCSPホチキスホチキス止め
不合适な辐辏を避ける避けるため,Citrix ADCアプライアンスはocspホチキス止めをサポートするようなりましたたつまりになりましたましましなりましましからから证证ましましからから证证证ステータスを検证した后后ステータスを検证した后后后を検证した后后ステータスを検证した后后ステータスを検证した后后をを検证し后后后をを検证し后后后をを検证した后后をを検证た后后后を検证検证した后ステータスをクライアントにに送できるになりましたたサーバ明明书の失效ステータスは,sslハンドシェイクの一切としてがクライアントに」するする応答「ホチキス止め止め止めされ「ホチキス止め止め止め使れますホチキスホチキス止め止め能用するには,SSL仮想サーバーでこの机能有效にし,アプライアンスにocspレスポンダを追加する必要あります。
注:
Citrix ADCアプライアンスは,RFC 6066で定義されているOCSPホチキス止めをサポートします。
OCSPホチキス止めは,Citrix ADCアプライアンスアプライアンスのフロントエンドでのみサポートされれででのみサポートされれ。
重要:
Citrix ADCによるOCSPホチキス止めのサポートは,TLSプロトコルバージョン1.0以降を使使使しハンドに限制
サーバ说明书のOCSP応答キャッシュ
SSLハンドシェイク中に,クライアントがサーバー证明书籍のステータスををすると,アプライアンスはまずローカルキャッシュにこの明书のエントリをチェックします。有色なエントリがたたた场ます。そのエントリが见つかっれ,そのエントリが评価れ,サーバサーバ明书とそのステータスがクライアント表示されますますステータス·ステータスが见つからないないステータスサーバー证明书の失效の要求をocspレスポンダにに送します。応答をを信する,说明书するとをクライアントクライアントにに信します。次のアップデートフィールドがocsp応答に存ー存ー存场にれれたたた値たた値値値たたた値値値たたたたた値。
注12.1:リリースビルド49。xから,タイムアウトが切れる前であっても,OCSPレスポンダからサーバ証明書のキャッシュされた応答をクリアできます。以前は,設定されたタイムアウトが過ぎるまで,証明書とキーのペアのキャッシュされたステータスを廃棄できませんでした。
CLIを使用してキャッシュされたステータスをクリアするには,コマンドプロンプトで次のように入力します。
CLEAR SSL CERTKEY -OCSPSTAPLINGCACHE <! - CELTCOPY - > 例:
clear ssl certKey s1 -ocspstaplingCache GUIを使用してキャッシュされた状態をクリアするには
- GUIで,(トラフィック管理] > [SSL.] > [说明书] > [CA証明書]にに动词し。
- 详细ペインで,说明书を选択ます。
- [アクションの选択]リストで,(クリア]を選択します。確認メッセージが表示されたら,(はい]をクリックします。
OCSPホチキス止めの設定
OCSPホチキス止めの设定は,机构の有象子とocspの设定が含まれ.ocspを设定设定はは,ocspレスポンダを追加し,ocspレスポンダを追加し,ocspレスポンダをca证明书にバインドし,说明书をssl仮想サーバにバインドする必要がますます。
注:
HTTPベースベースURLのみを持つ持つ持つレスポンダレスポンダサポートされれ。
CLIを使用してOCSPホチキス止めを有効にします
コマンドプロンプトで入力します。
设置SSL vserver -ocspstapling [启用|禁用] <! - 需要 - > 例:
set ssl vserver vip1 -ocspStapling ENABLED Done sh ssl vserver vip1高级ssl配置:DH: DISABLED DH Private-Key exponpling Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth:DISABLED SSL Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: ENABLED OCSP Stapling: ENABLED SSLv2: DISABLED SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED Push Encryption Trigger: Always Send Close-Notify: YES ECC Curve: P_256, P_384, P_224, P_521 1) CertKey Name: server_certificate1服务器证书1)Cipher Name:默认描述:具有加密强度的默认密码列表>= 128bit完成注:デフォルト(拡張)プロファイルが有効になっている場合は,设置ssl配置文件<配置文件名称> -ocspStapling [ENABLED | DISABLED]コマンドを使用してOCSPを有効または無効にします。
GUIを使用してOCSPホチキス止めを有効にします
- [トラフィック管理] > [SSL.] > [仮想サーバー]にに动词し。
- 仮想サーバーを開き,(SSLパラメータ]で[OCSPホチキス止め]を選択します。
OCSP構成
OCSP応答側は,OCSPホチキス止め要求を送信するために,動的にまたは手動で追加されます。内部応答側は,サーバー証明書のOCSP URLに基づいてサーバー証明書とその発行者証明書を追加すると,動的に追加されます。手動のOCSP応答側がCLIまたはGUIから追加されます。サーバー証明書のOCSP要求を送信するために,Citrix ADCアプライアンスは,発行者証明書にバインドするときに,割り当てられた優先順位に基づいてOCSPレスポンダーを選択します。応答側がOCSPホチキス止め要求の送信に失敗した場合,次に優先順位の高い応答側が要求の送信対象として選択されます。たとえば,手動で構成された応答側が1つだけ失敗し,動的にバインドされた応答側が存在する場合,OCSP要求の送信対象として選択されます。
OCSPがHTTP URL以外の場合,内部OCSPレスポンダは作成されません。
注
手動で追加したOCSP応答側は,動的に追加された応答側よりも優先されます。
手動で作成されたOCSP応答側と内部で作成されたOCSP応答側の違い
| 手動で作成されたOCSPレスポンダ | 内部的に(動的に)作成されたOCSPレスポンダ |
| 手動で明示的に作成し,優先度で発行者証明書にバインドします。 | サーバー証明書とその発行者証明書(CA証明書)を追加する際に,デフォルトで作成およびバインドされます。名前は“ns_internal_で始まります。 |
| 1 ~ 127のプライオリティは,設定された応答側用に予約されています。 | プライオリティは128年以降から自動的に割り当てられます。 |
| URLとバッチの深さは変更できます。 | URLととバッチの深深は変更できませませさは変更できませ |
| 直接削除されました。 | サーバー说明书またはca说明书を削除したににに削除れますれれれれ |
| 任意のCA証明書にバインドできます。 | デフォルトでは1つのCA証明書にバインドされます。他のCA証明書にはバインドできません。 |
| 构成(ns.conf)ににされます。 | 添加コマンドはは成に保存れ.setコマンドコマンドだけ保存されます。 |
| 3つのOCSPレスポンダを,プライオリティ1,2,3の同じ発行者証明書にバインドし,後でプライオリティ2をバインド解除しても,その他のプライオリティは影響を受けません。 | 3つのOCSPレスポンダが,それぞれプライオリティ128129年および130の発行者証明書に自動的にバインドされます。129年優先度でバインドされた応答側を作成するために使用されたサーバー証明書を削除すると,その応答側は削除されます。また,次の応答側の優先度(優先度130)は自動的に129に変更されます。 |
リクエスト処理の例:
- 仮想サーバー(vip1)を加加します。
- 発行者証明書(CA1)を追加し,VIP1にバインドします。
- 3つの証明書S1, S2,およびS3を追加します。内部応答側のresp1、resp2 resp3はそれぞれデフォルトで作成されます。
- S3をVIP1にバインドします。
- 要求がVIP1に送信されます。レスポンダーresp3が選択されています。
内部OCSPレスポンダを動的に作成するには,アプライアンスに次のものが必要です。
- サーバー証明書の発行者の証明書(通常はCA証明書)。
- サーバ証明書の証明書とキーのペア。この証明書には,証明機関が提供するOCSP URLが含まれている必要があります。URLは動的に追加された内部応答者の名前として使用されます。
内部OCSP応答側のデフォルト値は,手動で設定された応答側と同じです。
注:
内部応答側では,キャッシュはデフォルトで無効になっています。キャッシュを有効にするには,
设置ssl ocspResponderコマンドを使用します。
CLIを使用したOCSPの設定
コマンドプロンプトで,次のコマンドを入力してOCSPを構成し,構成を確認します。
添加ssl certKey < certkeyName > (cert <字符串>[密码])(关键<字符串> | -fipsKey <字符串> | -hsmKey <字符串>][通知<通知>][-expiryMonitor(启用|禁用)[-notificationPeriod < positive_integer >]][包(是的|不)]添加ssl ocspResponder <名称> URL > < URL(缓存(启用|禁用)[-cacheTimeout < positive_integer >]][-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)][-insertClientCert(是的|不)]结合ssl certKey [< certkeyName >] [-ocspResponder <字符串>][优先< positive_integer >)显示ssl ocspResponder(<名称>)< !——NeedCopy >パラメーター:
httpMethod:
OCSP要求の送信に使用するHTTPメソッド。255年要求の長さがバイト未満の場合は,OCSPサーバへのクエリーに対してHTTP GETメソッドを設定できます。得到メソッドを指定しても,長さが255バイトを超える場合,アプライアンスはデフォルトの方法(POST)を使用します。
可以なな:得到,帖子
デフォルト値:帖子
ocspUrlResolveTimeout:
OCSP URL解決を待機する時間(ミリ秒単位)。この時間が経過すると,次に高い優先度を持つレスポンダが選択されます。すべてのレスポンダが失敗した場合は,仮想サーバの設定に応じて,エラーメッセージが表示されるか,接続が切断されます。
最小値:100
最大値:2000
例:
添加SSL certkey root_ca1 -cert root_cacert。pem添加ssl ocspResponder ocsp_responder1 url http:// www.myCA.org: 80 / ocsp /“缓存启用-cacheTimeout 100 -resptimeout -responderCert responder_cert -producedAtTimeSkew 300 -signingCert sign_cert -insertClientCert是的结合ssl certKey root_ca1 -ocspResponder ocsp_responder1优先级1 sh ocspResponder ocsp_responder1 1)名称:ocsp_responder1 URL: http://www.myCA.org:80/ocsp/, IP: 192.128.22.22 Caching: Enabled Timeout: 30 minutes批处理:8 Timeout: 100mS HTTP Request Timeout: 100mS Request Signing Certificate: sign_cert Response Verification: Full, Certificate: responder_cert ProducedAt Time Skew: 300 s Nonce Extension:启用客户端证书插入:Enabled Done show certkey root_ca1 Name: root_ca1 Status: Valid, Days to expiration:8907 Version: 3…1)OCSP Responder Name: ocsp_responder1 Priority: 1 Done CLIを使用したOCSPの変更
OCSPレスポンダの名称は変更できませんが,设置ssl ocspResponderコマンドコマンド使用しし他のパラメータをを変更できできます。
コマンドプロンプトで次のコマンドを入力して,パラメーターを設定し,構成を確認します。
设置ssl ocspResponder <名称> [URL > < URL][缓存(启用|禁用)][-cacheTimeout < positive_integer >] [-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)]解放ssl certKey [< certkeyName >] [-ocspResponder <字符串>]结合sslcertKey [] [- ocspresponse ] [-priority ] show ssl ocspResponder [] GUIを使用したOCSPの設定
- [トラフィック管理] > [SSL.] > [OCSPレスポンダー]に移動し,OCSPレスポンダーを設定します。
- [トラフィック管理] > [SSL.] > [说明书]に动机し,说明书をし,[アクション]リストで[OCSPバインディング]を選択します。OCSPレスポンダをバインドします。
- 「トラフィック管理」>「負荷分散」>「仮想サーバー「「」」传动し,仮想サーバーを开放,「说明书“「证をクリッククリックしてて证书クリックしバインドしし
- 必要に応じて,OCSP强制性を選択します。
注:
添加SSL OcsPresponder.コマンドと设置ssl ocspResponderコマンドでクライアント証明書の挿入パラメーターが無効になりました。つまり,パラメータは設定時に無視されます。