[OCSP] タブは、管理者がオンライン証明書状態プロトコル (OCSP) レスポンダーの URL を発行元証明機関 (CA) 証明書に追加するために使用します。この証明書は、グループ ポリシーによって Active Directory ドメイン メンバーに配布されます。これにより、CA 証明書や以前 CA によって発行された証明書を再発行せずに、OCSP レスポンダーを既存の公開キー基盤 (PKI) に追加できます。この方法で提供された OCSP レスポンダーの URL は、CA によって発行された証明書の証明書失効状態の確認に使用されます。

この手順を完了するために最低限必要なグループ メンバーシップは、Enterprise Admins です。

OCSP レスポンダーの URL を CA 証明書に追加するには
  1. [スタート]、[ファイル名を指定して実行] の順にクリックします。「gpmc.msc」と入力し、[OK] をクリックして、グループ ポリシー管理コンソール (GPMC) を開きます。

  2. コンソール ツリーで、編集するポリシーが含まれているフォレストおよびドメインを展開し、[グループ ポリシー オブジェクト] をクリックします。

  3. 編集するポリシーを右クリックし、[編集] をクリックします。

  4. コンソール ツリーの [コンピューターの構成] で、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー]、[中間証明機関] を順に展開します。

  5. CA 証明書が表示されない場合は、発行元 CA から CA 証明書をエクスポートし、その証明書を [中間証明機関] にインポートします。「証明書をエクスポートする」を参照してください。

  6. CA 証明書を右クリックし、[プロパティ] をクリックして、[OCSP] タブをクリックします。

  7. OCSP レスポンダーの URL を入力して、[URL の追加] をクリックします。

  8. ドメイン メンバーが、発行された証明書に指定されている CRL 配布ポイントの場所から CRL をダウンロードしないようにするには、[証明書失効リスト (CRL) を無効にする (非推奨)] チェック ボックスをオンにします。

    注意

    CRL を無効にすることは推奨されません。OCSP と CRL の URL が提供されている場合、OCSP が優先されます。ただし、失効確認プロセスによって、複数の OCSP 要求を使用するよりも単一の CRL をダウンロードしてキャッシュした方が効率がよいかどうかが判断されます。

  9. [OK] をクリックして、変更を保存します。

グループ ポリシーの変更は、コンピューターのスタートアップ中やユーザーのログオン中に、グループ ポリシーの更新間隔に基づき定期的にドメイン メンバーによって適用されます。既定の更新間隔は 90 分です。ドメイン メンバー上でグループ ポリシーを直ちに更新するには、gpupdate コマンドを実行します。

その他の参照情報


目次