CAC の仕組み
各 CAC には、認証機関によって発行された証明書が含まれています。ActivIdentity® ActivClient® などの管理機関は、CAC 証明書へのアクセスを制御します。管理機関は、最初に CAC 所有者を検証することなく、CAC に含まれている証明書が CAC の外部で使用されることを防止します。
casp1032jp
各 CAC には、認証機関によって発行された証明書が含まれています。ActivIdentity® ActivClient® などの管理機関は、CAC 証明書へのアクセスを制御します。管理機関は、最初に CAC 所有者を検証することなく、CAC に含まれている証明書が CAC の外部で使用されることを防止します。
管理機関は、CAC のユーザに個人識別番号(PIN)の入力を求めることで、カード所有者を検証します。PIN が確認されたら、管理機関は CAC 証明書へのアクセスを許可します。
ただし、リソースへのアクセスを取得するには、CAC 証明書を提示するだけでは不十分です。CAC 証明書は、信頼性と妥当性の両方について最初にチェックする必要があります。
CAC 証明書から、何らかの中間証明書を経由する、信頼されたルート証明書までの証明書パスを構築することで、証明書の信頼性がチェックされます。このようにして、信頼チェーンは信頼されたルート証明書にユーザ証明書をリンクします。このチェーンが正しく構築されている場合、証明書は正規のものです。この目的で、認証機関は中間証明書とルート証明書を管理者に提供します。
証明書が正規のものと確認されたら、妥当性チェックが必要になります。認証機関は CAC 証明書を破棄できます。破棄により、不要な証明書を保持する CAC をレンダリングする証明書が無効になります。この検証は、以下の 2 つの方法の
いずれか
で実行できます。 - 証明書失効リスト(CRL)は、CAC が有効であり、業界標準であることを検証する最も一般的な方法です。CRL は、失効した証明書のシリアル番号が含まれるフラット ファイルです。これらのファイルは常に追加されるため、多くの場合に古くなります。その結果、事前に決められた時間に期限切れになり、更新する必要が生じます。CRL は大量のメモリを消費し、ローカル ファイル システム上に配置する必要があります。通常、管理者は、OCSP サーバ/レスポンダへのアクセスを持っていない場合、このオプションを選択します。
- オンライン証明書ステータス プロトコル(OCSP)は、中に格納されている情報をデータベースに抽出することで、CRL のロード時間をなくします。OCSP サーバは証明書を検証するリクエストを受け取ります。管理者はいつでも証明書を破棄できるため、OCSP サーバおよびレスポンダが古くなることはほとんどありませんCA Spectrumから別のサーバ上に OCSP を配置できます。
証明書が正規かつ妥当なものと確認されたら、CAC を許可できます。