オンライン証明書状態プロトコル (OCSP) 応答の署名証明書には、状態情報を提供する対象のエンド エンティティ証明書への署名に使用されたものと同じ証明機関 (CA) キーで署名する必要があります。
CA キーを更新した後、CA は新しいキーを使用して、新たに発行した証明書に署名します。CA の証明書が更新されてから元の CA 証明書の有効期限日までの間、CA は OCSP 応答の署名証明書を発行または更新できず、このため、オンライン レスポンダーが OCSP 応答に署名できなくなる場合があります。
この問題に対処するため、Windows Server 2008 R2 ベースの CA および Windows Server 2008 ベースの CA は、上記の既定の動作を変更し、既存の CA キーを使用して OCSP 応答の署名証明書を発行するように構成できます。
この手順を実行するには、CA をホストするサーバーの管理者であることが必要です。公開キー基盤 (PKI) の管理の詳細については、「役割ベースの管理を実装する」を参照してください。
既存の CA キーを使用して OCSP 応答の署名証明書を更新できるようにするには |
CA コンピューターでコマンド プロンプトを開き、次のコマンドを入力します。
certutil -setreg ca\UseDefinedCACertInRequest 1
Enter キーを押します。
CA サービスを再起動します。