エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

デジタル証明書が有効であることの確認(OCSPを使用)

Online Certificate Status Protocol(OCSP)を有効にすることで、Transport Layer Security(TLS)通信を使用するONTAPアプリケーションでデジタル証明書のステータスを受信できます。OCSPによる証明書のステータス チェックは、特定のアプリケーションごとにいつでも有効または無効にできます。デフォルトでは、OCSP証明書のステータス チェックは無効になっています。

要件

このタスクを実行するには、advanced権限レベルのアクセス権が必要です。

タスク概要

OCSPは、次のアプリケーションでサポートされています。

  • AutoSupport

  • イベント管理システム(EMS)

  • LDAP over TLS

  • Key Management Interoperability Protocol(KMIP)

  • 監査ログ

  • FabricPool

  • SSH(ONTAP 9.13.1以降)

手順
  1. 権限レベルをadvancedに設定します。set -privilege advanced

  2. 特定のアプリケーションでOCSPによる証明書のステータス チェックを有効または無効にするには、次の該当するコマンドを使用します。

    特定のアプリケーションOCSPによる証明書のステータス チェック 使用するコマンド

    有効にする

    security config ocsp enable -app app name

    無効にする

    security config ocsp disable -app app name

    次のコマンドは、AutoSupportおよびEMSのOCSPサポートを有効にします。

    cluster::*> security config ocsp enable -app asup,ems

    OCSPを有効にすると、アプリケーションは次のいずれかの応答を受信します。

    • Good - 証明書は有効で、通信可能な状態です。

    • Revoked - 証明書は発行元の認証局によって永続的に信頼できないと判断されており、通信不可能な状態です。

    • Unknown - サーバーが証明書に関するステータス情報を持っていないため、通信不可能な状態です。

    • OCSP server information is missing in the certificate - TLS通信は続行していますが、サーバーでOCSPが無効であると判断されているため、ステータス チェックは実行されません。

    • No response from OCSP server - アプリケーションを実行できない状態です。

  3. TLSを使用するすべてのアプリケーションでOCSPによる証明書のステータス チェックを有効または無効にするには、次の該当するコマンドを使用します。

    すべてのアプリケーションのOCSPによる証明書のステータス チェック 使用するコマンド

    有効にする

    security config ocsp enable

    -app all

    無効にする

    security config ocsp disable

    -app all

    この機能を有効にした場合は、すべてのアプリケーションで証明書のステータス(good、revoked、またはunknown)が署名された応答を受信します。証明書のステータスがrevokedの場合は、アプリケーションは実行できません。アプリケーションがOCSPサーバーから応答を受信できない、またはOCSPサーバーにアクセスできない場合も、アプリケーションは実行できません。

  4. OCSPをサポートするすべてのアプリケーションと、そのサポート状態を表示するには、security config ocsp showを使用します。

    cluster::*> security config ocsp show
             Application                        OCSP Enabled?
             --------------------               ---------------------
             autosupport                        false
             audit_log                          false
             fabricpool                         false
             ems                                false
             kmip                               false
             ldap_ad                            true
             ldap_nis_namemap                   true
             ssh                                true
    
             8 entries were displayed.
Top of Page