Address Manager に X.509 認証子を追加します。
X.509 認証子を追加するには:
- [管理] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[管理] ページにいることを確認します。
- [ユーザ管理] で、[セキュア アクセス] をクリックします。
- [X.509 認証子] タブをクリックして [新規] をクリックします。
- [X.509 認証子] で、次のパラメータを設定します。
- 名前: X.509 認証子の分かりやすい名前。
- X.509 プライマリ サーバ URL: クライアント証明書のステータスをテストするために使用するプライマリ OCSP レスポンダーの HTTP URL。
- セカンダリ X.509 認証子の有効化: セカンダリ (フォールバック) X.509 認証子の使用を有効化します。選択した場合、セカンダリ OCSP サーバの URL を指定する必要があります。
- X.509 セカンダリ サーバ URL: セカンダリ OCSP サーバの URL。[セカンダリ X.509 認証子の有効化] オプションを選択すると、このフィールドが有効になります。このサーバがコンタクトされるのは、プライマリにコンタクトできない場合のみです。
- カスタム ユーザ プレフィックス マッチ: 選択すると、クライアント証明書の件名 DN、および LDAP 認証子の [ユーザ プレフィックス] フィールドに指定された属性を使用して LDAP 内のユーザのマッチが実行されます。[カスタム ユーザ プレフィックス マッチ] を選択した場合、[厳密な DN マッチ] を指定できません。
- 厳密な DN マッチ: 選択すると、クライアント証明書の完全な件名 DN を使用して LDAP 内のユーザのマッチが実行されます。選択しない場合、件名 DN の最終 CN (Common Name) を使用してマッチが実行されます。[厳密な DN マッチ] を選択した場合、[カスタム ユーザ プレフィックス マッチ] を指定できません。
- CA 証明書: クライアント証明書を発行する CA の 1 つ以上の証明書。発行側の CA が中間 (またはサブ) CA である場合、ルート CA までの CA 証明書のチェーン (ルート CA を含む) も存在する必要があります。証明書はすべて PEM 形式であるとともに、単一のファイル (バンドル) に含まれる必要があります。
- [更新] をクリックします。
X.509 認証子を追加したら、次に X.509 認証子を有効にします。