クライアント証明書の検証動作について
証明書の検証動作はEarly Accessの機能です。有効にするには、Oktaサポートにお問い合わせください。
トピック
背景
Access Gatewayは以下のように様々な方法で証明書を使用します:
- SSL/TLSを構築し、管理する。Access Gateway証明書についてを参照してください。
- リクエストを検証する際の追加の認証方式として使用。
2番目のシナリオでは、証明書チェーンがAccess Gatewayに読み込まれ、クライアント証明書を含むリクエストが、そのチェーンからの有効なエンドユーザー証明書と照らし合わせて検証されます。
一般的に、証明書チェーンは以下より構成されます:
- DigiCert、Thawte、その他のプロバイダーなど名の知れた認証機関によって提供されるルート証明書。
- 通常は会社に割り当てられ、ルートCAによって署名された1つ以上の中間証明書。通常は複数の中間証明書が存在します。例えば、所定の企業内の部門や部署から発行されます。
- 所定の団体に割り当てられた最終証明書となるエンドエンティティ証明書。エンドエンティティ証明書は検証に使用されます。
Access Gatewayおよび証明書チェーン
Access Gatewayは証明書チェーンを使用して動作を使用するアプリケーションを検証します。このプロセスの要素は以下の通りです:
- 証明書チェーンの管理 - Access Gateway Managementコンソールを使用して証明書チェーンの追加、表示、その他の管理を行います。
- 証明書失効リストの更新 - Access Gatewayは、Managementコンソールで指定された有効期間と更新間隔を使用して定期的に証明書失効リスト(CRL)を更新します。証明書チェーンの操作の「CRL 設定を管理する」を参照してください。
- 証明書の検証を指定 ‐ アプリケーションが有効な証明書の動作を使用して証明書を検証します。 アプリケーションの動作を管理するにある「証明書の検証動作」を参照してください。
有効にして実行すると、アプリケーションリクエストは以下を含む証明書の検証動作の1つに対して検証が行われます:
- デフォルト動作。証明書ベースの検証は発生しない。
- 証明書の検証が失敗した場合:
- リクエストをカスタム URL/URIに転送します。
- 空白のページを表示し、405ステータスコードを返します。
- 無効な証明書を示すエラーページを表示します。