クライアント証明書の検証動作

背景

Access Gatewayは、以下のように様々な方法で証明書を使用します。

• SSL/TLSを確立および管理する方法。「証明書の用途」を参照してください。
• リクエストを検証する際の追加の認証方法。

2番目のシナリオでは、証明書チェーンがAccess Gatewayにロードされ、クライアント証明書を含むリクエストは、チェーンからの有効なエンドユーザー証明書と照合され検証されます。

一般的に、証明書チェーンは以下のもので構成されます：

• 既知のの認証局（DigiCert、Thawte、または類似のプロバイダー）によって提供されるルート証明書。
• 一般的に会社に割り当てられ、ルートCAによってサインされた1つまたは複数の中間証明書。中間証明書は多くの場合複数存在します。たとえば、特定の会社内の部門または課によって作成されます。
• エンドエンティティ証明書は、特定のエンティティに割り当てられる最後の証明書です。エンドエンティティ証明書は検証に使われます。

Access Gatewayおよび証明書チェーン

Access Gatewayでは、動作を用いたアプリケーションの検証で、証明書チェーンを使用します。このプロセスの側面は以下のとおりです：

• 証明書チェーンを管理する ‐ Access Gateway 管理コンソールは、証明書チェーンの追加、閲覧、管理に使用します。
• 証明書失効リストを更新する ‐ Access Gatewayは、管理コンソールで指定されたライフタイムと更新間隔を使って、証明書失効リスト（CRL）を定期的に更新します。「証明書チェーンのオペレーション」の「CRL設定を管理する」を参照してください。
• 証明書の検証を指定する ‐ アプリケーションは、有効な証明書動作を用いて証明書に照合して検証されます。「アプリの動作を定義する」の「証明書の検証動作」を参照してください。

有効化されると、アプリケーションリクエストは実行時に、以下を含む証明書検証動作の1つと照合して検証されます。

• デフォルト動作の場合、証明書ベースの検証は発生しません。
• 証明書の検証に失敗した場合：
  • カスタムURL/URIにリクエストを転送します。
  • 空白ページが表示されますが、405ステータスコードを返します。
  • 無効な証明書エラーページが表示されます。