オンライン レスポンダーでは、複数の証明機関 (CA) および複数の CA 証明書から失効情報を入手して使用できます。しかし、オンライン レスポンダーによって処理される各 CA と CA 証明書には、個別の失効構成が必要です。
失効構成には、特定の CA キーを使用して発行された証明書に関する状態要求への応答に必要なすべての設定が含まれます。次の構成設定があります。
-
CA の証明書: この証明書は、Active Directory ドメイン サービス (AD DS) またはローカル証明書ストアに格納されているか、ファイルからインポートすることができます。
-
オンライン レスポンダーの署名証明書: この署名証明書は、自動または手動 (失効構成を追加した後に別途インポート手順が必要です) で選択するか、または選択した CA 証明書を署名証明書としても使用することができます。
-
失効プロバイダー: 失効プロバイダーは、この構成で使用される失効データの提供元となります。Windows Server 2008 R2 または Windows Server 2008 のプロバイダーでは、この情報は、有効な Base CRL および Delta CRL を取得できる場所を示す 1 つ以上の URL として入力されます。
新しい失効構成を追加する前に、上記に列挙されている情報が揃っていることを確認してください。
この手順を実行するには、配列中のすべてのオンライン レスポンダーで "オンライン レスポンダーの管理" のアクセス許可が必要です。公開キー基盤の管理の詳細については、「役割ベースの管理を実装する」を参照してください。
 | オンライン レスポンダーに失効構成を追加するには |
オンライン レスポンダー スナップインを開きます。
コンソール ツリーで、[失効構成] をクリックします。
詳細ウィンドウに既存の失効構成の一覧が表示されます。
[操作] ウィンドウで、[失効構成の追加] をクリックし、失効構成の追加ウィザードを起動します。
ウィザードの指示に従って情報を入力します。
-
[CA 証明書の場所の選択] ページの詳細については、「失効構成 CA 証明書」を参照してください。
-
[署名証明書の選択] ページの詳細については、「失効構成署名証明書」を参照してください。
-
[CA 証明書の場所の選択] ページの詳細については、「失効構成 CA 証明書」を参照してください。
すべての情報を入力したら、[完了]、[はい] の順にクリックして、セットアップ処理を完了します。
既存の失効構成のプロパティの変更、その CA 証明書の表示、失効構成の削除を行うには、該当する失効構成を選択し、[操作] ウィンドウで [プロパティの編集] をクリックします。
失効構成の次のプロパティを変更できます。
-
ローカル CRL: 詳細については、「ローカル CRL を使用して失効データを管理する」を参照してください。
-
失効プロバイダー: 詳細については、「失効プロバイダーのプロパティ」を参照してください。
-
署名: 詳細については、「失効プロバイダーの署名」を参照してください。