証明書を取り消すと、予定されている有効期限前に、信頼されたセキュリティ資格情報としての証明書の効力を失います。公開キー基盤 (PKI) は、資格情報の分散型検証に依存しており、資格情報を保証する中央の信頼された実体と直接通信する必要はありません。
証明書失効を効率的にサポートするには、証明書が有効なのか失効しているのかをクライアント コンピューターが判定する必要があります。さまざまなシナリオに対応するために、Active Directory 証明書サービスでは業界標準の証明書失効方法をサポートしています。これらの方法には、証明書失効リスト (CRL) の発行、および Active Directory ドメイン サービス、Web サーバー、ネットワーク ファイル共有など、クライアントがアクセス可能な複数の場所での Delta CRL の発行があります。Windows では、失効データはオンライン証明書状態プロトコル (OCSP) の応答を通じて、さまざまな設定で利用可能にすることができます。
 | 注 |
|
CRL は指定したネットワークの場所に定期的に発行され、クライアント コンピューターにより、その場所からダウンロードできます。OCSP 応答は、個別の証明書が失効または中断したか、その状態が不明であることを示す、デジタル署名された応答です。OCSP 応答は、発行された CRL からデータを取得するか、証明機関 (CA) の証明書状態データベースから直接更新できます。 |
さらに、管理者は公開キーのグループ ポリシーを使用することで、特に非常に大きい CRL またはネットワークの状態によりパフォーマンスが低下している状況で、CRL および OCSP レスポンダーの使用を向上させることができます。
このトピックでは、次の作業の手順を説明します。
ローカル コンピューターで失効設定を構成する
Administrators は、この手順を完了するために最低限必要なグループ メンバーシップです。
 | ローカル コンピューターで失効設定を構成するには |
[スタート] ボタンをクリックし、[プログラムとファイルの検索] ボックスに「gpedit.msc」と入力して、Enter キーを押します。
コンソール ツリーで、[ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。
[証明書パス検証の設定] をダブルクリックし、[失効] タブをクリックします。
[これらのポリシーの設定を定義する] チェック ボックスをオンにし、適用するポリシー設定を選択します。[OK] をクリックして新しい設定を適用します。
ドメインの失効設定を構成する
Domain Admins は、この手順を完了するために最低限必要なグループ メンバーシップです。
| ドメインの失効設定を構成するには |
[スタート] ボタンをクリックし、[管理ツール] をポイントして、[サーバー マネージャー] をクリックします。
[機能の概要] で、[機能の追加] をクリックします。[グループ ポリシーの管理] チェック ボックスをオンにし、[次へ] をクリックして、[インストール] をクリックします。
[インストールの結果] ページにグループ ポリシー管理コンソール (GPMC) のインストールが正常に完了したことが表示されたら、[閉じる] をクリックします。
[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで、編集する [Default Domain Policy] グループ ポリシー オブジェクト (GPO) が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。
[Default Domain Policy] GPO を右クリックし、[編集] をクリックします。
コンソール ツリーで、[コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。
[証明書パス検証の設定] をダブルクリックし、[失効] タブをクリックします。
[これらのポリシーの設定を定義する] チェック ボックスをオンにし、適用するポリシー設定を選択します。[OK] をクリックして新しい設定を適用します。
ローカル コンピューターの CRL および OCSP 応答の有効期間を延長する
Administrators は、この手順を完了するために最低限必要なグループ メンバーシップです。
| ローカル コンピューターの CRL および OCSP 応答の有効期間を延長するには |
[スタート] ボタンをクリックし、[プログラムとファイルの検索] ボックスに「gpedit.msc」と入力して、Enter キーを押します。
コンソール ツリーで、[ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。
[証明書パス検証の設定] をダブルクリックし、[失効] タブをクリックします。
[これらのポリシーの設定を定義する] チェック ボックスをオンにし、[CRL および OCSP 応答をその有効期間より長い時間有効にすることを許可する] チェック ボックスをオンにします。
[有効期間の延長可能時間] ボックスに時間の値 (時間単位) を入力し、[OK] をクリックして新しい設定を適用します。
ドメインの CRL および OCSP 応答の有効期間を延長する
Domain Admins は、この手順を完了するために最低限必要なグループ メンバーシップです。
| ドメインの CRL および OCSP 応答の有効期間を延長するには |
[スタート] ボタンをクリックし、[管理ツール] をポイントして、[サーバー マネージャー] をクリックします。
[機能の概要] で、[機能の追加] をクリックします。[グループ ポリシーの管理] チェック ボックスをオンにし、[次へ] をクリックして、[インストール] をクリックします。
[インストールの結果] ページに GPMC のインストールが正常に完了したことが表示されたら、[閉じる] をクリックします。
[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで、編集する [Default Domain Policy] GPO が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。
[Default Domain Policy] GPO を右クリックし、[編集] をクリックします。
コンソール ツリーで、[コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。
[証明書パス検証の設定] をダブルクリックし、[失効] タブをクリックします。
[これらのポリシーの設定を定義する] チェック ボックスをオンにし、[CRL および OCSP 応答をその有効期間より長い時間有効にすることを許可する] チェック ボックスをオンにします。
[有効期間の延長可能時間] ボックスに時間の値 (時間単位) を入力し、[OK] をクリックして新しい設定を適用します。
その他の参照情報