すべての証明書は特定の有効期限付きで発行されています。証明書を取り消すと、元の有効期間が切れる前に、信頼されたセキュリティ資格情報としての有効性が失われます。スケジュールされた期限より前に、証明書をセキュリティ資格情報として信頼できないと指定する理由はいくつかあります。たとえば、次のものがあります。

  • 証明書のサブジェクトの秘密キーが侵害されたか、侵害された疑いがある場合。

  • 証明機関 (CA) の秘密キーが侵害されたか、侵害された疑いがある場合。

  • 証明書が不正に取得されたことが発覚した場合。

  • 信頼されたエンティティとしての証明書のサブジェクトの状態に変更があった場合。

  • 証明書のサブジェクトの名前に変更があった場合。

証明書の有効性情報を入手するために、CA または他の信頼されたサーバーに常に接続できるとは限りません。証明書状態のチェックを効果的にサポートするには、証明書が有効なのか失効しているのかを判定するために、クライアントが失効データにアクセスできる必要があります。さまざまなシナリオに対応するために、Active Directory 証明書サービス (AD CS) では業界標準の証明書失効方法をサポートしています。これらの方法には、証明書失効リスト (CRL) および Delta CRL の発行があります。クライアントは、この CRL および Delta CRL を、Active Directory ディレクトリ サービス、Web サーバー、ネットワーク ファイル共有など、さまざまな場所から使用できます。

Windows Server 2008 R2 と Windows Server 2008 では、オンライン レスポンダーを使用することにより、複雑なネットワーク環境で CRL データをよりアクセスしやすくできます。オンライン レスポンダーは、CRL の証明書失効データを使用して、クライアントからの証明書状態要求を個別に処理します。

CRL は、取り消された証明書の完全なデジタル署名されたリストです。このリストは定期的に発行され、CRL に対して構成された有効期限に基づいてクライアントが取得およびキャッシュすることができ、証明書の失効状態を確認するために使用できます。

CRL は、CA によって発行および取り消しされる証明書の数によっては大きくなるため、Delta CRL と呼ばれる小さい一時的な CRL を発行できます。Delta CRL には、直前の定期的な CRL の発行以降に取り消された証明書のみが含まれます。これにより、クライアントが小さい Delta CRL を取得し、取り消された証明書の完全なリストをすばやく作成できます。Delta CRL の使用により、失効データをより頻繁に発行することもできます。これは、Delta CRL のサイズにより必要となる転送時間が、通常、完全な CRL より短いためです。


目次