セキュリティ/ユーザ管理:ステップ5. 証明書失効リストのインポート

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、NetWitnessサーバにCRL(証明書失効リスト)をインポートする手順について説明します。

CRLは、失効した証明書の一覧を含むファイルです。各証明書のシリアル番号や失効日などの詳細も含まれています。通常、証明書は、不正なユーザーによる証明書のセキュリティ侵害を回避するために失効します。たとえば、NetWitness Suiteユーザーがある組織から脱退した場合、証明書のセキュリティ侵害を回避するため、発行元のCAがユーザーの証明書を失効する必要があります。 

信頼済みCAによって発行されたCRLをインポートし、NetWitness SuiteはCRLを使用して、不正ユーザによるNetWitness Suiteへのアクセスをブロックできます。次のオプションを使用してCRLを指定したり、CRLをNetWitness Suiteにインポートすることができます。

  • HTTPサーバ:これがもっとも一般的なCRLの配置場所であり、CAはHTTPサーバを使用してCRLを外部アプリケーションに発行します。NetWitnessサーバはHTTP URLを使用してCRLを読み取ります。
  • ローカルCRL:これを使用することで、CAのCRLを手動でダウンロードしたり、NetWitnessサーバにアップロードすることができます。CRLをNetWitnessサーバの/var/lib/netwitness/uax/pki/crlディレクトリにコピーするようにCronジョブを記述することで、自動化を実現できます。NetWitnessサーバは、CRLが更新されると(5分ごと)、ディスクにある更新されたCRLを使用します。
  • LDAPリソース:これは主にWindowsシステムで使用されます。LDAP URL、およびLDAPオブジェクトにアクセスするためのユーザ名とパスワードを指定する必要があります。NetWitnessサーバはLDAP URLからCRLを読み取ります。
  • OCSPレスポンダー:OCSPレスポンダーを指定するには、HTTP URLとOCSPレスポンダーの署名証明書を提供する必要があります。エントリーの追加時にOCSPレスポンダーがオンラインであることを確認します。OCSPレスポンダーの署名証明書が更新された場合、NetWitnessサーバで証明書を手動で更新する必要があります。

手順

HTTPサーバでのCRLファイルの指定

注:CRLが使用可能であり、NetWitnessサーバからHTTPサーバにアクセスできることを確認します。

HTTPサーバでCRLファイルを指定するには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[セキュリティ]に移動します。
    [セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  2. PKI設定]タブをクリックします。
  3. CRL]セクションで、追加ボタンをクリックします。
  4. CRLタイプ]で、ドロップダウン リストから[CRLはHTTPサーバに配置]を選択します。
  5. URL]フィールドで、CRLにアクセスするためのHTTP URLを指定します。
  6. テスト]をクリックします。
    CRLから抽出された情報が次のようにNetWitness Suite UIに表示されます。

    注:HTTP URLがHTTPSの場所にある場合、NetWitnessサーバはCRLが配置されているHTTPサーバのWebサーバ証明書を検証しません。

  7. 保存]をクリックします。
    CRLファイルが正常にNetWitnessサーバに追加されます。

NetWitness Suite UIを使用して、ローカルCRLファイルをインポート

注:CRLがCDPの場所からダウンロードされることを確認します。

NetWitness Suite UIを使用してローカルCRLファイルをインポートするには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[セキュリティ]に移動します。
    [セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  2. PKI設定]タブをクリックします。
  3. CRL]セクションで、追加ボタンをクリックします。
    [CRLの設定]ダイアログが表示されます。
  4. CRLのタイプ]で、ドロップダウン リストから[CRLはファイルとして使用可能]を選択します。
  5. CRLファイルで、[参照]をクリックしてCRLファイルをアップロードします。

    注:CRLファイルの拡張子は.crlにする必要があります。

  6. テスト]をクリックします。
    CRLから抽出された情報が次のようにNetWitness Suite UIに表示されます。
  7. 保存]をクリックします。
    CRLファイルが正常にNetWitnessサーバに追加されます。

NetWitness Suite UIを使用してCRLをLDAPリソースとして指定

注:CRLが使用可能であり、NetWitnessサーバからLDAPサーバにアクセスできることを確認します。

  1. NetWitness Suiteで、[管理]>[セキュリティ]に移動します。
    [セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  2. PKI設定]タブをクリックします。
  3. CRL]セクションで、追加ボタンをクリックします。
    [CRLの設定]ダイアログが表示されます。
  4. CRLのタイプ]で、ドロップダウン リストから[CRLはLDAPリソースとして公開]を選択します。
  5. URL]フィールドで、CRLにアクセスするためのLDAP URLを指定します。

    注:LDAP URLに空白文字が含まれる場合(たとえば、CN=EMC Root CA)、その空白文字は「CN=EMC%20Root%20CA」のようにエスケープされます。

  6. ユーザ名]フィールドに、ドメイン/ユーザ名の形式でユーザ名を入力します。
  7. パスワード]フィールドに、CRLにアクセスするためのパスワードを入力します。
  8. テスト]をクリックします。
    CRLから抽出された情報が次のようにNetWitness Suite UIに表示されます。
  9. 保存]をクリックします。
    CRLが正常にNetWitnessサーバに追加されます。

NetWitness Suite UIを使用してOCSPレスポンダーを指定

注:OCSPレスポンダーにNetWitnessサーバからアクセスできることを確認します。

NetWitness Suite UIを使用してOCSPレスポンダーを指定するには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[セキュリティ]に移動します。
    [セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  2. PKI設定]タブをクリックします。
  3. CRL]セクションで、追加ボタンをクリックします。
    [CRLの設定]ダイアログが表示されます。
  4. CRLのタイプ]で、ドロップダウン リストから[OCSPレスポンダー用のHTTP URL]を選択します。
  5. URL]フィールドで、HTTP URLを指定します。
  6. 証明書]フィールドで、[参照]をクリックしてOCSPレスポンダーの署名証明書をアップロードします。
  7. テスト]をクリックします。 NetWitness Suite UIには、OCSPレスポンダーの署名証明書から抽出された情報が表示されます。
  8. 保存]をクリックします。
    OCSPレスポンダーが正常にNetWitnessサーバに追加されます。

CRL設定の構成

CRLの証明書失効を検証するために、CRL設定を構成する必要があります。

CRL設定を構成するには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[セキュリティ]に移動します。 [セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  2. PKI設定]タブをクリックします。
  3. CRLの設定]セクションで、次のいずれかの[障害モード]オプションを選択します。
    • [失効チェックに失敗した場合、ユーザのログインを許可する]:ユーザは次の場合にNetWitnessサーバにアクセスできます。
      • ユーザ証明書発行者のCRLが見つからない。

      • ユーザ証明書は失効していないが、CRLの有効期限が切れている。

      • OCSPサーバにアクセスできない。
    • [失効チェックに失敗した場合、ユーザのログインをブロックする]:ユーザは次の場合にログインできます。

      • ユーザ証明書発行者のCRLを利用できる。
      • ユーザ証明書が失効して、CRLが有効である。

      • OCSPサーバにアクセスでき、ユーザ証明書が有効である。

  4. 失効チェック モード]フィールドで、ユーザ証明書の検証を行う際のモードを選択します。
    • CRLのみ]モードを選択すると、次の条件を満たしている場合にCRLが有効であると見なされます。
      • 同じユーザ証明書発行者によって発行されたCRLが存在する必要がある。
      • CRLの有効期限が切れていない。
      • CRLは発行者によって適切に署名されている。
    • OCSPのみ]モードを選択すると、次の条件を満たしている場合にOCSPが有効であると見なされます。
      • 同じユーザ証明書発行者によって発行されたOCSPレスポンダーが存在する必要がある。
      • OCSPレスポンダーの有効期限が切れていない。
      • OCSPレスポンダーは発行者によって適切に署名されている。
    • CRL、続いてOCSP]を選択する場合、次の条件を満たしている必要があります。
      • ユーザ証明書が有効である必要がある。
      • 前述の手順でユーザ証明書が有効である場合、そのユーザ証明書はOCSPレスポンダーを使用して検証されます。
      • CRLで失効しておらず、OCSPレスポンダーを使用して有効である場合にのみ、ユーザは有効であると見なされます。
  5. [マルチCRLモード]フィールドでは、ユーザが同じ発行者からの複数のCRLを所有している場合に、CRLの処理で使用されるCRLモードを選択します。
    • [最後に発行したCRLで失効をチェック]:最も直近の発行日をもつCRLが最も最近利用されたCRLと見なされます。
    • [最後の期限切れCRLで失効をチェック]:有効期限が最も新しいCRLが最後の有効期限切れCRLと見なされます。
    • [失効チェック用にすべてのCRLを組み合わせる]:CRL内の失効済み証明書はすべて失効と見なされます。

      注:
      CRLが2つ以上ある場合は、CRLは次に基づいて一意と見なされます。
      - CRLが発行された日付。
      - CRLの有効期限が切れる日付。

 

次のステップ:

ステップ6. PKIの有効化

You are here
Table of Contents > セキュリティ/ユーザ管理:ステップ5. 証明書失効リストのインポート

Attachments

    Outcomes