クライアント認証の有効化

TLS コンテキストを追加するときに対象値に ​[Anypoint Security]​ を選択した場合、必要に応じてクライアント認証を有効にできます。TLS 対応クライアントは、自身が保管する信頼済みの証明書を使用して公開証明書を検証することで、サーバーが信頼できるかどうかを確認します。

TLS コンテキストのクライアント認証を有効にする場合、クライアントが信頼する証明書を保存するトラストストアが必要です。

クライアント認証を有効にする手順は、次のとおりです。

  1. シークレットグループの [Create TLS Context (TLS コンテキストを作成)] ページで、​[Enable Client Authentication (クライアント認証を有効化)]​ を選択して、次の情報を指定します。

    • Verification Depth (検証深度)
      証明書チェーンの検証を許可する最大深度を選択します。

    • Revocation Method (失効方法)

    • Send Trust Store (トラストストアを送信)
      相互 TLS のためにインバウンドロードバランサーがトラストストアを他方のクライアントに送信するようにする場合は、このオプションを選択します。クライアントはトラストストアを使用して、プロビジョニングされた複数の証明書とパスがクライアントにある場合に使用する適切な証明書とパスを選択します。

    • Perform Certificate Pinning (証明書のピン留めを実行)
      選択した証明書のピン留めリストに存在するクライアント証明書にのみアクセスを許可する場合は、このオプションを選択します。この場合、クライアント証明書にはトラストストアに表示される証明書 (通常は CA) への信頼チェーンが必要ですが、選択した証明書のピン留めリストに明示的に存在 (ピン留め) する必要もあります。

  2. [Advanced Options (詳細オプション)]​ をクリックして使用可能なオプションを展開し、有効にするオプションを選択します。

    • Certificate Checking Strength (証明書チェック強度)
      このオプションでは、アプリケーションが信頼チェーンの処理中に厳格な証明書チェックを実行するか、緩い証明書チェックを実行するかを制御できます。

      緩い証明書チェックでは、検証プロセスがそれほど厳密ではないため柔軟性が高まりますが、侵害された証明書や不正な証明書を受け入れるリスクが高くなります。厳格な証明書チェックは、証明書の有効性と失効チェックに関する要件がより厳密であり、より多くの計算リソースが必要になります。

    • Certificate Policy Checking (証明書ポリシーチェック)
      RFC 3280 および 5280 で定義されている証明書ポリシー処理を制御します。 証明書には 0 個以上のポリシーを含めることができます。ポリシーはオブジェクト ID (OID) として表されます。エンドエンティティ証明書では、このポリシー情報は証明書が発行されたポリシーと、証明書を使用可能な目的を示します。
      CA 証明書では、このポリシー情報はこの証明書を含む証明書パスのポリシーセットを制限します。特定のポリシー要件があるアプリケーションは、受け入れるポリシーのリストがあり、証明書内のポリシー OID をそのリストと比較する必要があります。この拡張機能が重要な場合、パス検証ソフトウェアはこの拡張機能 (省略可能な修飾子を含む) を解釈できるか、証明書を拒否する必要があります。

    • OID
      次のオブジェクト ID オプションを選択します。

      • Require Initial Explicit Policy (最初の明示的ポリシーが必要)
        user-initial-policy-set​ の証明書ポリシーの少なくとも 1 つでパスが有効な必要があることを示します。

      • Certificate Policies (証明書ポリシー)
        少なくともポリシー ID (OID) で構成されます。

    • Authentication Overrides (認証の上書き)
      相互認証が実行されるときに、失敗した認証を上書きするタイミングの条件を選択します。

  3. [Save (保存)]​ をクリックします。