信頼されたルート証明書、クロス証明書、証明書失効リスト (CRL) などの証明書関連データを有効にするためには、それらのデータが時間内に更新される必要があります。ネットワークの取得およびパス検証設定を使用すると、管理者は次のことができます。

  • Microsoft ルート証明書プログラムで証明書を自動的に更新する。

  • CRL およびパス検証の取得タイムアウト値を構成する (ネットワークの状態が最適でない場合は、既定値を大きくすると有効です)。

  • パス検証中の発行者証明書の取得を有効にする。

  • クロス証明書のダウンロードの間隔を定義する

このトピックでは、次の作業の手順を説明します。

CRL 取得を管理する

証明書の失効データを時間内に取得することは、証明書を安全に使用するうえで重要な要素です。ただし、有効性の確認と証明書失効データおよびクロス証明書の取得でタイムアウトが発生すると、予期しているよりも多くのデータが転送されるので、問題が生じます。

管理者は、公開キー グループ ポリシーのネットワーク取得オプションを使用すると、ネットワーク取得のタイムアウト値を管理できます。

ローカル コンピューターの大きな CRL の取得タイムアウト オプションの値を大きくする

Administrators は、この手順を完了するために最低限必要なグループ メンバーシップです。

ローカル コンピューターの大きな CRL の取得タイムアウト オプションの値を大きくするには

  1. [スタート] ボタンをクリックし、[プログラムとファイルの検索] ボックスに「gpedit.msc」と入力して、Enter キーを押します。

  2. コンソール ツリーで、[ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。

  3. [証明書パス検証の設定] をダブルクリックし、[ネットワークの取得] タブをクリックします。

  4. [これらのポリシーの設定を定義する] チェック ボックスをオンにします。

  5. [既定の取得タイムアウトの設定] の [既定の URL 取得タイムアウト (秒)] ボックスにタイムアウト値を入力し、[OK] をクリックして新しい設定を適用します。

ドメインの大きな CRL の取得タイムアウト オプションの値を大きくする

Domain Admins は、この手順を完了するために最低限必要なグループ メンバーシップです。

ドメインの大きな CRL の取得タイムアウト オプションの値を大きくするには

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[サーバー マネージャー] をクリックします。

  2. [機能の概要] で、[機能の追加] をクリックします。[グループ ポリシーの管理] チェック ボックスをオンにし、[次へ] をクリックして、[インストール] をクリックします。

  3. [インストールの結果] ページにグループ ポリシー管理コンソール (GPMC) のインストールが正常に完了したことが表示されたら、[閉じる] をクリックします。

  4. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。

  5. コンソール ツリーで、編集する [既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。

  6. [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。

  7. コンソール ツリーで、[コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。

  8. [証明書パス検証の設定] をダブルクリックし、[ネットワークの取得] タブをクリックします。

  9. [これらのポリシーの設定を定義する] チェック ボックスをオンにします。

  10. [既定の取得タイムアウトの設定] の [既定の URL 取得タイムアウト (秒)] ボックスにタイムアウト値を入力し、[OK] をクリックして新しい設定を適用します。

その他の参照情報

目次