CRL 確認のための LDAP サーバの設定
LDAP 識別名 (DN) が正確に CRL の発行者フィールドの内容と一致する場合のみ、LDAP ディレクトリ内の CRL を検索することができます。例えば、CRL の発行者フィールドに以下のオブジェクトが表示されるとします。
- CN = Some CA
- O = Acme
- C = US
この場合、LDAP ディレクトリのエントリの DN は、「CN = Some CA, O=Acme, C = US」である必要があります。
この DN で識別される LDAP エントリの属性は、以下のいずれかを含む必要があります(これらの属性は、上から下へ順に検索されます。)
| 属性 | OID (Object Identifier - オブジェクト識別子) |
|---|---|
| certificateRevocationList;binary | 2.5.4.39 |
| authorityRevocationList;binary | 2.5.4.38 |
| certificateRevocationList | 2.5.4.39 |
| authorityRevocationList | 2.5.4.38 |
| deltaRevocationList;binary | 2.5.4.53 |
| deltaRevocationList | 2.5.4.53 |
| mosaicCertificateRevocationList | 2.16.840.1.101.2.1.5.45 |
| sdnsCertificateRevocationList | 2.16.840.1.101.2.1.5.44 |
| fortezzaCertificateRevocationList | 2.16.840.1.101.2.1.5.45 |