OCSP による証明書ステータスのモニタリング
オンライン証明書状態プロトコル (OCSP) は、クライアントの SSL 証明書の状態を決定するために使用されるインターネットプロトコルです。Citrix Gateway は、RFC 2560で定義されているOCSPをサポートしています。OCSP には、タイムリーな情報という点で、証明書失効リスト (CRL) よりも大きな利点があります。クライアント証明書の最新の失効ステータスは、多額の金銭や価値の高い株式取引を含む取引で特に役立ちます。また、使用するシステムリソースとネットワークリソースも少なくなります。Citrix Gateway のOCSP実装には、リクエストのバッチ処理とレスポンスのキャッシュが含まれます。
Citrix Gateway のOCSP実装
Citrix Gateway アプライアンスでのOCSP検証は、SSLハンドシェイク中にCitrix Gatewayがクライアント証明書を受信したときに開始されます。証明書を検証するために、Citrix Gateway はOCSPリクエストを作成し、そのリクエストをOCSPレスポンダーに転送します。そのためには、Citrix Gateway がクライアント証明書からOCSPレスポンダーのURLを抽出するか、ローカルに構成されたURLを使用します。Citrix Gateway がサーバーからの応答を評価し、トランザクションを許可するか拒否するかを決定するまで、トランザクションは中断状態になります。サーバーからの応答が構成された時間を超えて遅延し、他の応答者が構成されていない場合、Citrix Gateway では、OCSPチェックをオプションまたは必須のどちらに設定したかに応じて、トランザクションが許可されるか、エラーが表示されます。Citrix Gateway は、OCSPリクエストのバッチ処理とOCSPレスポンダーのキャッシュをサポートし、OCSPレスポンダーの負荷を軽減し、応答を高速化します。
OCSP 要求のバッチ処理
Citrix Gateway はクライアント証明書を受信するたびに、OCSPレスポンダーに要求を送信します。OCSPレスポンダーの過負荷を回避するために、Citrix Gateway では、同じリクエストで複数のクライアント証明書の状態を問い合わせることができます。要求のバッチ処理が効率的に機能するためには、バッチの形成を待っている間に単一の証明書の処理が遅れることがないように、タイムアウトを定義する必要があります。
OCSP 応答キャッシュ
OCSP レスポンダから受信した応答をキャッシュすると、ユーザへの応答が高速になり、OCSP レスポンダの負荷が軽減されます。クライアント証明書の失効ステータスをOCSPレスポンダーから受信すると、Citrix Gateway は事前に定義された時間だけ応答をローカルにキャッシュします。SSLハンドシェイク中にクライアント証明書を受信すると、Citrix Gateway はまずローカルキャッシュにこの証明書のエントリを確認します。(キャッシュのタイムアウト制限内で)有効なエントリが見つかった場合、エントリが評価され、クライアント証明書が受け入れられるか拒否されます。証明書が見つからない場合、Citrix Gateway はOCSPレスポンダーにリクエストを送信し、そのレスポンスをローカルキャッシュに保存します。
このコンテンツの正式なバージョンは英語で提供されています。Citrixドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Citrixは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCitrix製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCitrixとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Citrixは責任を負わないものとします。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.
