• SonicOS および SonicOSX 7 IPSec VPN
• IPSec VPN の概要
  • 仮想プライベート ネットワークについて
  • VPN の種類
    • IPsec VPN
    • VPN を越えた DHCP
    • IPsec を利用した L2TP
    • SSL VPN
  • VPN のセキュリティ
    • IKEv1 について
    • IKEv2 について
    • IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
    • IPsec (フェーズ 2) プロポーザルについて
    • Suite B 暗号化について
  • VPN ベース の設定と表示
    • ポリシー
    • アクティブ トンネル
    • 設定
  • IPv6 VPN の設定
  • VPN が自動的に追加するルール コントロール
• サイト間 VPN
  • サイト間設定の計画
  • 一般的な VPN 構成
    • 「一般」タブでの設定
    • 「ネットワーク」タブでの設定
    • 「プロポーザル」タブでの設定
    • 「詳細」タブでの設定
  • GroupVPN ポリシーの管理
    • 事前共有鍵を使用する IKE の設定
    • サード パーティ証明書を使用する IKE の設定
    • GroupVPN クライアント ポリシーのダウンロード
  • サイト間 VPN ポリシーの作成
    • 事前共有鍵を使用する設定
    • マニュアル キーを使用する設定
    • サードパーティ証明書を使った設定
    • リモート SonicWall ネットワーク セキュリティ装置の設定
    • 静的ルートへの VPN フェイルオーバーの設定
• VPN 自動プロビジョニング
  • VPN 自動プロビジョニングについて
    • VPN 自動プロビジョニングの定義
    • VPN 自動プロビジョニングの利点
    • VPN 自動プロビジョニングの仕組み
      • IKE フェーズ 1 セキュリティ関連付けの確立について
      • プロビジョニングされたポリシーを使用した IKE フェーズ 2 の確立について
  • VPN AP サーバの設定
    • VPN AP サーバ設定の開始
    • 「一般」画面でのVPN AP サーバの設定
    • 「ネットワーク」画面でのVPN AP サーバの設定
    • 「プロポーザル」画面での詳細設定
    • 「詳細」画面での詳細設定
  • VPN AP クライアントの設定
• ルールと設定
  • トンネル インターフェースの追加
    • トンネル インターフェースに対して静的ルートを作成
  • 異なるネットワーク セグメントを使用するルート エントリ
  • ネットワークへの静的ルートの冗長化
• 詳細
  • VPN の詳細設定
  • IKEv2 の設定
  • OCSP を SonicWall ネットワーク セキュリティ装置で使用
    • OpenCA OCSP Responder
    • OCSP で使用する証明書のロード
    • VPN ポリシーでOCSPを使用
• VPN を越えた DHCP
  • DHCP リレー モード
  • VPN を越えた DHCP 用のセントラル ゲートウェイの設定
  • VPN を越えた DHCP のリモート ゲートウェイの設定
  • VPN を越えた現在の DHCP リース
• L2TP サーバと VPN クライアント アクセス
  • L2TP サーバの設定
  • 現在動作中の L2TP セッションの表示
  • Microsoft Windows L2TP VPN クライアント アクセスの設定
  • Google Android L2TP VPN クライアント アクセスの設定
• AWS VPN
  • 概要
  • 新しい VPN 接続の作成
  • VPN 接続の確認
    • ファイアウォールでの設定
    • アマゾン ウェブ サービスでの設定
  • 経路伝搬
  • AWS リージョン
  • VPN 接続の削除
• SonicWall サポート
  • このドキュメントについて

OCSP を SonicWall ネットワーク セキュリティ装置で使用

OCSP は、PKI (Public Key Infrastructure) またはデジタル証明書システムで CRL を拡張または置換できるように設計されています。CRL は、PKI によって構成されたデジタル証明書の検証に使用されます。これにより、CA (証明書認証機関) は、予定された有効期限になる前に証明書を取り消すことができます。 これは、盗まれた証明書や無効な証明書に対して PKI を保護する場合に有用です。

証明書失効リストの主な短所は、各クライアントの CRL を最新にしておくためにアップデートを頻繁に行うことが必要な点です。頻繁にアップデートが必要になると、各クライアントにより完全な CRL がダウンロードされるときにネットワーク トラフィックが増大します。CRL アップデートの頻度によっては、CRLによって証明書が取り消された時点でクライアントが CRL アップデートおよび証明書の使用の許可をまだ入手していないという状態が、一定の期間にわたって発生することがあります。

Online Certificate Status Protocol は、CRL を使用せずにデジタル証明書の現在の状況を判断します。OCSP は、識別されたデジタル証明書の状況をクライアントまたはアプリケーションが直接判断できるようにします。これにより、CRL 証明書に関する情報を CRL の場合よりも適切なタイミングで提供できます。さらに、通常は各クライアントが2〜3個程度の証明書を確認するだけなので、その数個の証明書のエントリのために CRL 全体をダウンロードするというオーバーヘッドは発生しません。その結果、証明書の検証に関連するネットワーク トラフィックが大幅に減少します。

OCSP は、既存のネットワークとの互換性を最大化するためにメッセージを HTTP 経由で転送します。そのため、OCSP 応答のキャッシュされたコピー (期限切れの可能性がある) を受け取らないように、ネットワーク内のキャッシュ サーバを慎重に設定する必要があります。

OCSP クライアントは、OCSP レスポンダでやり取りします。OCSP レスポンダは、CA サーバまたは CA とやり取りして証明書状況を判断できる他のサーバにすることができます。OCSP クライアントは、OCSP レスポンダに状況要求を発行し、レスポンダから応答があるまで証明書の受け入れを保留します。クライアント要求には、プロトコル バージョン、サービス要求、ターゲット証明書 ID、オプションの拡張機能などのデータが含まれています。オプションの拡張は、OCSP レスポンダによって承認されない場合もあります。

OCSP レスポンダは、クライアントから要求を受け取ると、メッセージが適切な形式であることを確認し、レスポンダがサービス要求に応答できるかどうかを検証します。次に、要求の中に目的のサービスに必要な情報が正しく含まれているかを確認します。すべての条件が満たされると、レスポンダは OCSP クライアントに最終的な応答を返します。OCSP レスポンダは、基本的な応答 (GOOD、REVOKED、または UNKNOWN) を提供する必要があります。OCSP クライアントとレスポンダが両方ともオプションの拡張をサポートしている場合は、他の応答も可能です。GOOD 状態は、証明書が取り消されていないことを示す、期待されている応答です。REVOKED 状態は、証明書が取り消されたことを示します。UNKNOWN 状態は、レスポンダが対象となる証明書に関する情報を持っていないことを示します。

OCSP サーバは、通常、プッシュまたはプル設定で CA サーバと連携して動作します。CRL リスト (証明書失効リスト) を OCSP サーバにプッシュするように CA サーバを設定できます。さらに、OCSP サーバは、CA サーバから CRL を周期的にダウンロード (プル) するように設定できます。OCSP サーバは、CA サーバで発行された OCSP 応答署名証明書によって設定することもできます。署名証明書は適切な形式である必要があります。そうでない場合、OCSP クライアントは OSCP サーバからの応答を受け入れることができません。