自動CRL処理

CA証明書に関連付けられている証明書失効リスト(CRL)は、通常、週単位または月単位の間隔で期限切れになります。CRLの期限切れアラートを受け取った場合は、新しいCRLをHPE OneViewに手動でアップロードします。HPE OneView 5.2以降のバージョンを構成して、CRLを自動的にダウンロードすることができます。CRLの自動ダウンロード設定が有効になっている場合、アプライアンスでスケジュール設定された自動CRLダウンローダーは、アプライアンスで利用可能なすべてのCRLの有効性を確認し、期限が切れている、またはもうすぐ期限切れになるCRLをアップデートします。CRLが以前にダウンロードされていなかった場合、ダウンローダーはこのプロセスで新しいCRLもダウンロードします。ジョブの実行予定時刻は、午前12時(UTC)に設定されています。アプライアンスは、もうすぐ期限切れになるCRLがないか毎日確認します。CRLのいずれかが3日後に期限切れになる場合、アプライアンスは利用可能な最新のCRLをダウンロードします。これにより、アプライアンスのCRLが期限切れになるのを防ぎます。利用可能な最新のCRLをダウンロードするためのスケジュールを構成するには、REST API /rest/certificates/validator-configurationのグローバル設定変数global.daysBeforeToTriggerCRLDownloadを使用します。CRLのダウンロード中にエラーが発生した場合、アプライアンスは操作を3回再試行してからアラートを生成します。

注記:

ダウンロードがトリガーされるまでの日数に関係なく、CRLインフラストラクチャには遅延が発生する場合があります。CAが新しいCRLをアップロードするとき、CAにはアップデートについて通知する機能がありません。CRLインフラストラクチャでこの遅延が発生すると、新しく失効した証明書は次回の更新時まで選択されません。これはHPE OneView固有の問題ではなく、CRLエコシステムの制限事項です。

アプライアンスがスケジュールされた日にダウンしているなどの理由により、特定の日にスケジュールされた実行が行われなかった場合、HPE OneViewは再起動後にCRLダウンローダーを開始します。

CA証明書のCRL DP情報は、そのCAによって署名された証明書でのみ利用できます。このCRL DP情報は、CA署名付き証明書がアプライアンスによって読み取られるたびに、アプライアンスによってCA署名付き証明書から抽出されます。このタイミングは、CA署名付き証明書がアプライアンスにインポートされたときか、管理対象デバイスまたは外部サーバーとのTLS通信中にCA署名付き証明書が検出されたときのいずれかです。CA証明書のCRL DP情報がアプライアンスで利用可能になると、CRLはCRL DP URLから非同期でダウンロードされ、アプライアンスのCA証明書に関連付けられます。

CA署名付き証明書の厳密な失効チェックは、証明書に署名したCA(中間またはルート)のCRLがアプライアンスにダウンロードされた後にのみ実行できます。

証明書のCRLを自動的にダウンロードするようにHPE OneViewを構成するには、設定 > セキュリティ > アクション > 編集 > 証明書ページのCRLの自動ダウンロードオプションを有効にします。

注記:

証明書チェーンのすべてのCRLをダウンロードするには、完全なCA証明書チェーン(ルートCAおよびすべての中間CA)をアプライアンスにアップロードする必要があります。

HPE OneViewは、次のイベント中にCRLをダウンロードします。

  • 証明書のインポート

    • 証明書チェーンがインポートされると、CA証明書チェーンをアプライアンスに保存中にCRLがダウンロードされます。

    • ルートCAがアプライアンスにあるときに不完全な証明書チェーンをインポートしようとすると、CA証明書チェーンをアプライアンスに保存中にCRLがダウンロードされます。CRLは、アプライアンスでのルートCAの可用性に応じてダウンロードされます。

  • 最初の通信

    HPE OneViewから、CA署名付き証明書を持つ管理対象デバイスまたは外部サーバーへの接続が初めて確立されたとき、通信中にHPE OneViewに提示される証明書チェーンは、アプライアンス内のCRL DP情報とCRLの可用性についてチェックされます。検証中に、CRLがアプライアンスで見つからない場合は、対応するCRLのダウンロードがスケジュールされます。
    注記:
    • 管理対象デバイスとの最初の通信中にCRLが利用できない場合、証明書失効チェックは実行されません。CRLは最初の通信後に非同期でダウンロードされ、失効チェックはその後の通信中に実行されます。

    • アプライアンスでの証明書の失効チェックは、その証明書の発行者CAに対応するCRLの可用性と、ユーザーが構成した失効チェック設定に基づいています。

    • 外部CA署名付き証明書を保持するRabbitMQクライアントがアプライアンスと通信するときは、クライアント証明書の発行者CAチェーンに関連付けられているCRLをHPE OneViewに手動で追加するようにしてください。HPE OneViewは、RabbitMQクライアントとのこの通信中にCRLを自動的にダウンロードしません。

  • アプライアンスの再起動

    アプライアンスが1日以上ダウンして再起動された場合、一部のCRLはこの期間中に期限切れになっている可能性があります。CRLの自動ダウンロード設定が有効になっている場合は、アプライアンスの再起動から90分後に期限切れのCRLがアップデートされます。証明書失効チェックオプションを有効にし、アプライアンスがこの90分間に管理対象デバイスまたは外部サーバーと通信する場合、証明書失効チェックは一時的に無効になります。失効チェックの一時的な無効化は、アプライアンスでCRLの有効期限が切れたCA証明書に対して行われます。CRLが有効なCAについては、失効チェックが実行されます。

    • バックアップとリストア

      アプライアンスをバックアップしてリストアすると、CRLの一部がこの期間中に期限切れになっている場合があります。CRLの自動ダウンロードオプションが有効になっている場合は、期限切れのCRLはアプライアンスがリストアされてから90分後にアップデートされます。証明書失効チェックオプションを有効にし、アプライアンスがこの90分間に管理対象デバイスまたは外部サーバーと通信する場合、証明書失効チェックは一時的に無効になります。失効チェックの一時的な無効化は、アプライアンスでCRLの有効期限が切れたCA証明書に対して行われます。

      注記: アプライアンスで定義された厳密な失効ポリシーを保持するには、REST API /rest/global-settingsのグローバル設定変数retain-expired-crl-revocation-policy = trueを使用します。retain-expired-crl-revocation-policyがアプライアンスの再起動前にtrueに設定されているときに、厳密な失効ポリシーがユーザーによって以前に有効になっている場合は、このポリシーが保持され失効チェックが90分間実行されます。
  • アプライアンスのアップグレード

    アプライアンスがHPE OneView 5.2以降のバージョンにアップグレードされた場合、再起動後にCRLの自動ダウンロードオプションが有効にされると、以前のリリースで手動でアップロードされたCRLが検証されます。CRLの有効期限が切れているか、もうすぐ期限切れになる場合は、利用可能な最新のCRLがダウンロードされアプライアンスでアップデートされます。

注記:
  • CAのCRLをHPE OneViewに手動でアップロードするには、そのCAが署名した任意の証明書のCRL DP情報を探すこともできます。CRL DPの検索およびCRLのアップロードの詳細については、CRL配布ポイントを見つけるを参照してください。CRLの自動ダウンロード設定が有効になっていない場合は、アプライアンスの外部で実行されているアプライアンス以外のソリューションを使用して、スクリプトを使用してCRLをダウンロードすることもできます。詳しくは、https://github.com/HewlettPackard/oneview-python-samples/tree/master/crl_helperを参照してください。CRLの自動ダウンロード設定が有効になっている場合は、アプライアンス以外のスクリプトを使用しないでください。

  • 外部のCA(DigiCertなど)が発行した証明書を使用する場合も、プロキシ設定が必要です。CRLはCAによってホストされており、CRLに到達するにはプロキシ設定が必要な場合があります。

プロキシサーバーを介したCRLのダウンロード

HTTP/HTTPSプロトコルを使用するCRL DPの場合、HPE OneViewはプロキシ設定を使用してCRLを最初にダウンロードしようとします。接続が失敗した場合、CRL DPへの直接接続が試行されます。HTTP/HTTPSプロキシ設定は、HPE OneViewアプライアンスの設定 > プロキシ画面で構成できます。

LDAP/LDAPSプロトコルを使用するCRL DPの場合、CRL DPに接続する最初の試みは、直接接続を介して行われます。失敗した場合は、socksプロキシ設定を介して試行されます。socksプロキシサーバーの場合、デフォルトで設定 > プロキシ画面で構成されている同じHTTP/HTTPSプロキシ設定が使用され、ポート属性は1080に設定されます。接続に失敗した場合は、socksプロキシサーバーをHPE OneViewアプライアンスの外部に設定する必要があります。socksプロキシサーバーを構成したら、REST API /rest/global-settingsを使用して次のグローバル変数を設定します。
  • socks-proxy-server(IPアドレスまたはホスト名)

  • socks-proxy-port

  • use-http-proxy-credentials

socks-proxy-serverおよびsocks-proxy-portは、socksプロキシサーバーを作成中に使用した変数です。同じ認証情報(ユーザー名とパスワード)をHTTP/HTTPSプロキシサーバーとして使用するには、属性use-http-proxy-credentialstrueに設定する必要があります。socksプロキシサーバー(socks V4プロキシなど)で認証情報が必要ない場合は、グローバル変数use-http-proxy-credentialsfalseに設定します。
注記:

REST API PATCH /rest/certificates/caを使用して特定のCRL DPからCRLをダウンロードし、CRL DPを含む証明書を指定できます。このAPIを使用する前に、この証明書の発行者CAがアプライアンスで利用可能であることを確認してください。