クライアント証明書の検証動作
証明書の検証動作は早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
Access Gatewayバージョン2021.1.0より利用可能
トピック
背景
Access Gatewayは、以下のように様々な方法で証明書を使用します。
- SSL/TLSを確立および管理する方法。「証明書の用途」を参照してください。
- リクエストを検証する際の追加の認証方法。
2番目のシナリオでは、証明書チェーンがAccess Gatewayにロードされ、クライアント証明書を含むリクエストは、チェーンからの有効なエンドユーザー証明書と照合され検証されます。
一般的に、証明書チェーンは以下のもので構成されます:
- 既知のの認証局(DigiCert、Thawte、または類似のプロバイダー)によって提供されるルート証明書。
- 一般的に会社に割り当てられ、ルートCAによってサインされた1つまたは複数の中間証明書。中間証明書は多くの場合複数存在します。たとえば、特定の会社内の部門または課によって作成されます。
- エンドエンティティ証明書は、特定のエンティティに割り当てられる最後の証明書です。エンドエンティティ証明書は検証に使われます。
Access Gatewayおよび証明書チェーン
Access Gatewayでは、動作を用いたアプリケーションの検証で、証明書チェーンを使用します。このプロセスの側面は以下のとおりです:
- 証明書チェーンを管理する ‐ Access Gateway 管理者コンソールは、証明書チェーンの追加、閲覧、管理に使用します。
- 証明書失効リストを更新する ‐ Access Gatewayは、管理者コンソールで指定されたライフタイムと更新間隔を使って、証明書失効リスト(CRL)を定期的に更新します。「証明書チェーンのオペレーション」の「CRL設定を管理する」をご参照ください。
- 証明書の検証を指定する ‐ アプリケーションは、有効な証明書動作を用いて証明書に照合して検証されます。「アプリケーション動作を定義する」の「証明書検証動作」をご参照ください
実行時に有効化されると、アプリケーションリクエストは、以下を含む証明書検証動作の1つと照合して検証されます。
- デフォルト動作の場合、証明書ベースの検証は発生しません。
- 証明書の検証に失敗した場合:
- カスタムURL/URIにリクエストを転送します。
- 空白ページが表示されますが、405ステータスコードを返します。
- 無効な証明書エラーページが表示されます。