OCSP による証明書ステータスのモニタリング

オンライン証明書状態プロトコル (OCSP) は、クライアントの SSL 証明書の状態を決定するために使用されるインターネットプロトコルです。Citrix Gateway は、RFC 2560で定義されているOCSPをサポートしています。OCSP には、タイムリーな情報という点で、証明書失効リスト (CRL) よりも大きな利点があります。クライアント証明書の最新の失効ステータスは、多額の金銭や価値の高い株式取引を含む取引で特に役立ちます。また、使用するシステムリソースとネットワークリソースも少なくなります。Citrix Gateway のOCSP実装には、リクエストのバッチ処理とレスポンスのキャッシュが含まれます。

Citrix Gateway のOCSP実装

Citrix Gateway アプライアンスでのOCSP検証は、SSLハンドシェイク中にCitrix Gatewayがクライアント証明書を受信したときに開始されます。証明書を検証するために、Citrix Gateway はOCSPリクエストを作成し、そのリクエストをOCSPレスポンダーに転送します。そのためには、Citrix Gateway がクライアント証明書からOCSPレスポンダーのURLを抽出するか、ローカルに構成されたURLを使用します。Citrix Gateway がサーバーからの応答を評価し、トランザクションを許可するか拒否するかを決定するまで、トランザクションは中断状態になります。サーバーからの応答が構成された時間を超えて遅延し、他の応答者が構成されていない場合、Citrix Gateway では、OCSPチェックをオプションまたは必須のどちらに設定したかに応じて、トランザクションが許可されるか、エラーが表示されます。Citrix Gateway は、OCSPリクエストのバッチ処理とOCSPレスポンダーのキャッシュをサポートし、OCSPレスポンダーの負荷を軽減し、応答を高速化します。

OCSP 要求のバッチ処理

Citrix Gateway はクライアント証明書を受信するたびに、OCSPレスポンダーに要求を送信します。OCSPレスポンダーの過負荷を回避するために、Citrix Gateway では、同じリクエストで複数のクライアント証明書の状態を問い合わせることができます。要求のバッチ処理が効率的に機能するためには、バッチの形成を待っている間に単一の証明書の処理が遅れることがないように、タイムアウトを定義する必要があります。

OCSP 応答キャッシュ

OCSP レスポンダから受信した応答をキャッシュすると、ユーザへの応答が高速になり、OCSP レスポンダの負荷が軽減されます。クライアント証明書の失効ステータスをOCSPレスポンダーから受信すると、Citrix Gateway は事前に定義された時間だけ応答をローカルにキャッシュします。SSLハンドシェイク中にクライアント証明書を受信すると、Citrix Gateway はまずローカルキャッシュにこの証明書のエントリを確認します。(キャッシュのタイムアウト制限内で)有効なエントリが見つかった場合、エントリが評価され、クライアント証明書が受け入れられるか拒否されます。証明書が見つからない場合、Citrix Gateway はOCSPレスポンダーにリクエストを送信し、そのレスポンスをローカルキャッシュに保存します。