証明書失効チェックについて、どのような点に注意する必要がありますか?

System Managerでは、証明書失効リスト（CRL）をアップロードする代わりに、Online Certificate Status Protocol（OCSP）サーバを使用して失効した証明書をチェックできます。

失効した証明書は信頼しないようにしてください。証明書が失効する理由はいくつかあります。たとえば、認証局（CA）から証明書が適切に発行されていない、秘密鍵が不正に使用された、特定されたエンティティがポリシーの要件を満たしていない、などの場合です。

System Manager で OCSP サーバーへの接続を確立すると、ストレージ・アレイは、自動サポート・サーバー、外部キー管理サーバー (EKMS)、Lightweight Directory Access Protocol over SSL (LDAPS) サーバー、または syslog サーバーに接続するたびに失効チェックを行います。ストレージ アレイは、これらのサーバの証明書の検証を試行して、証明書が失効していないことを確認します。確認後、サーバは証明書に対して「good」、「revoked」「unknown」のいずれかの値を返します。証明書が失効している場合や、アレイがOCSPサーバにアクセスできない場合は、接続が拒否されます。