CRLファイルが取得できない事象について
「Nippon RA Certification Authority 3」のCRLファイルのサイズが大きい為、製品によってはうまく取得できない場合があります。(2020/12/21時点でのCRLのサイズは約9.2MB)
本事象が発生した際には、OCSPレスポンダをご利用ください。
OCSPレスポンダURL
http://mpkiocsp.managedpki.ne.jp/mpkiocsp
以下FortiGateに対するOCSPレスポンダの設定例になります。
【FortiGate設定手順(例)】
1.証明書のCA証明書に中間CA、ルートCAの証明書を登録します。
2.OCSPの設定はCLIコンソールを使って以下コマンドを<>の中を実際の値にして設定します。
vpn certificate ocsp-server
edit <任意の値>※画像ではmpki_ocsp
set url http://mpkiocsp.managedpki.ne.jp/mpkiocsp
set cert <中間CAの登録名>
set unavail-action revoke
end
exit
3.設定が変更されているかを確認します。
■確認コマンド①
config vpn certificate ocsp-server
edit <設定した任意の値>
get
【設定完了画面①(例)】
■確認コマンド②
config vpn certificate setting
get
【設定完了画面②(例)】
差異がある場合は以下コマンドを参考に変更してください。
config vpn certificate setting
set ocsp-status enable
end
exit
4.以上で設定は完了です。
