X.509 証明書の失効確認に使用する OCSP
Online Certificate Status Protocol (OCSP) を使用すると、識別された証明書の取り消し状態をアプリケーションで判別することができます。OCSP を使用すると、証明書失効リスト (CRL) を使用する場合よりも適切なタイミングに失効情報を必要とするような運用要件を満たすことができます。また、状態に関する追加情報も取得できます。OCSP クライアントは OCSP レスポンダに状態の要求を発行し、レスポンダが応答を返すまで問い合わせ中の証明書の受け入れを一時停止します。
Domino® では、OCSP によるチェックは、S/MIME の署名の検証中にのみ Notes® クライアントが行います。失効した証明書があるとユーザーにエラーメッセージが表示され、すべての OCSP トランザクション情報はクライアントのローカルにある LOG.NSF データベースに記録されます。失効した証明書を受け入れるオプションを選択することもできます。
この機能を利用するには、非 IBM Domino の OCSP レスポンダによる署名検証が、組織内で可能になっている必要があります。
OCSP をポリシーで有効にするには、セキュリティ設定ポリシー文書の [パブリックキー情報] タブで設定を行います。