ApacheまたはTomcatを実行しているLinuxベースのサーバーがあり、信頼できる機関によって生成されたWebサーバー証明書があるとします。証明書はcrlの配布ポイントに含まれています。質問は次のとおりです。私のサーバーがSSLを介して他のエンティティ(サーバー、ユーザーなど)と通信するたびに、有効なCRLまたは信頼チェーンに依存するだけで十分ですか? (基本割り当て)
編集:状況は、私の組織がWindows環境とLinux環境で構成されていることです。組織は、WindowsおよびLinuxで使用されるサーバーおよびクライアント証明書にMicrosoft CAを使用します。 crlファイルをホストするパブリックサーバーがあります。ほとんどのLinux環境は、SSLを介して通信するApacheサーバーとDBサーバーで構成されています。
問題は、crlサーバーがオフラインになると、Linux環境で何が起こるかです。 Linuxサーバーが認証チェーン信頼を介して通信できるか、使用可能なcrlなしで認証に失敗するか。環境にはさまざまな種類のサーバーがあるため、この質問は多少抽象的ですが、この場合、一般的に何が起こっているのかを知りたいと思います。
2番目の編集:Linux環境では、OpenSSLを使用してCSRを生成し、証明書をインストールすることに言及したかったです。
ベストアンサー1
Dmitryが述べたように、クライアント(または正しい用語を使用すると、信頼当事者)は証明書が失効したかどうかに興味があります。
Webサーバーでは、信頼者はブラウザですが、サーバーがクライアント証明書を要求すると役割が変わり、信頼者はサーバーになります。
Windows で CAPI を使用すると、信頼関係者はそのように構成されている場合にのみ CRL を確認します。私はWindows 10のIE11が基本的にスキャンを実行していると思いますが、IE9 / Windows 7時代にはCRLスキャンを実行するためにグループポリシーを適用する必要があると確信しています。
Unix / Linuxの世界では、状況ははるかに複雑です。まず、Windows CAPIに似たAPIはありません。 OpenSSL、GnuTLS、NSSなどがあります。 Mozilla製品は、作成された方法でNSSを使用します。 ChromeでもNSSを使用します。ただし、すべてのブラウザがこれを行うという保証はありません。 FirefoxはCRLを確認します(ただし、それほど長くない見える)同時にChromeは他のメカニズムを使用しています。m、すべてNSSを使用しますが。
WindowsのCAPIと同様に、アプリケーションがCRLを確認することを選択するかどうかは、ベンダー、管理者(あなた?)、またはその両方によって異なります。