OCSPレスポンダの構築

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。

例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させることで接続できなくすることができます。

その方法の一つとして、OCSP (Online Certificate Status Protocol) の利用があります。

OCSPは、CRLと異なり、クライアント証明書認証が発生したタイミングで、そのクライアント証明書が失効していないかを確認する方式です。
(一度OCSPで証明書の失効有無が確認されると、PA Firewallは一定時間 (＝OCSPレスポンダで指定された時間) キャッシュしますので、認証の都度確認する、というものではありません。)

OCSPの動作を確認するには、ADCSの役割の一つである「Online Responder」が必要ですので、ここではそのインストールと設定を行います。

Online Responderのインストール

IISと同様に、WIN2019のServer Managerで、「Add roles and features」をクリックします。

以下の画面までは「Next」をクリックして進めます。
以下の画面で、「Active Directory Certificate Services」の下の「Online Responder」を選択します。

「Add Features」をクリックします。

「Next」をクリックします。

何も選択せず、「Next」をクリックします。

「Install」をクリックします。

続けて、設定を行います。
「Configure Active Directory Certificate Services on the destination server」をクリックします。

「Next」をクリックします。

「Online Responder」にチェックを入れ、「Next」をクリックします。

「Configure」をクリックします。

「Close」をクリックします。

［確認のみ］　「Administrative Tools」 → 「Internet Information Services (IIS) Manager」を開きます。
「EC2AMAZ-EJGC4H8」 → 「Sites」 → 「Default Web Site」の下に、「ocsp」が存在することを確認します。

CAのテンプレート設定

WIN2019の「Administrative Tools」 → 「Certification Authority」を開きます。

「acme-EC2AMAZ-EJGC4H8-CA」の下の「Certificate Templates」を右クリック　→ 「Manage」 を選択します。

「OCSP Response Signing」を右クリック　→ 「Properties」を選択します。

「Security」タブで、「Add」をクリックします。

「Object Types」をクリックします。

「Computers」にチェックを入れて、「OK」をクリックします。

「EC2AMAZ-EJGC4H8」を選択して、「OK」をクリックします。

「WIN2019」が選択された状態で、「Enroll」と「Autoenroll」にチェックを入れ、「OK」をクリックします。

「acme-EC2AMAZ-EJGC4H8-CA」の下の「Certificate Templates」を右クリック　→ 「New」　→ 「Certificate Template to Issue」を選択します。

「OCSP Response Signing」を選択して、「OK」をクリックします。

「OSCP Response Signing」が、「Certificate Templates」に加わります。

OCSP ResponderのRevocation設定

 

WIN2019の「Administrative Tools」 → 「Online Responder Management」を開きます。

「Online Responder: WIN2019.acme.com」の下の「Revocation Configuration」を右クリック　→ 「Add Revocation Configuration」を選択します。

「Next」をクリックします。

名前に「OCSP001(任意)」と入力し、「Next」をクリックします。

「Select a certificate for an Existing enterprise CA」を選択して、「Next」をクリックします。

「Browse」をクリックして現れた画面で、「acme-EC2AMAZ-EJGC4H8-CA」が選択された状態で、「OK」をクリックします。

「Next」をクリックします。

「Automatically select a signing certificate」が選択された状態で、「Next」をクリックします。

「Provider」をクリックします。

検証用に、「Refresh CRLs based on their validity periods」のチェックを外して、最短の5分に変更し、「OK」をクリックします。(デフォルトでは、証明書を失効しても2日間程度反映されないため。)

「Finish」をクリックします。

設定した「OCSP001」が、「Working」となったことを確認します。

「Revocation Configuration」　→ 「OCSP001」を右クリック　→ 「Edit Properties」を選択します。

「Signing」タブ　→ 「Enable NONCE extension support」にチェックを入れ、「OK」をクリックします。

クライアント証明書の失効

クライアント証明書の失効方法はこちらをご参照ください。

GlobalProtectとの連携

GlobalProtectが、OCSPによるクライアント証明書の有効/失効を確認するための設定はこちらをご参照ください。