証明書失効リスト (CRL) と Delta CRL の間の重複期間を構成することで、この 2 つの関係を調整できます。この設定は、次の Base CRL または Delta CRL の発行が遅れる場合、またはクライアントがスケジュールされた発行時刻に新しい CRL または Delta CRL を取得できない場合に特に便利です。
CRL の重複期間は発行済み CRL の最終有効期間です。この間にクライアントは、古い CRL が使用不能と見なされる前に、新しい CRL を取得することができます。この値の既定の設定は、CRL の有効期間の 10% です。一部の環境では、CRL をレプリケートするためにより長い期間が必要な場合があるため、この設定を手動で構成できます。
 | 注 |
|
CRL または Delta CRL の重複期間の最大値は 12 時間です。 |
Base CRL と Delta CRL の両方が最近発行された場合、両方の CRL に失効した証明書が表示されることがあります。これは、新しい Delta CRL が古い Base CRL を指している状態で、新しい Base CRL がレプリケートされているためです。両方の CRL に証明書を表示することで、失効情報を使用できます。
この手順を実行するには、証明機関 (CA) 管理者の権限が必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
 | CRL および Delta CRL の重複期間を構成するには |
コマンド プロンプトで、次のコマンドを入力します。
certutil -setreg ca\CRLOverlapUnitsValuecertutil -setreg ca\CRLOverlapPeriodUnitscertutil -setreg ca\CRLDeltaOverlapUnitsValuecertutil -setreg ca\DeltaOverlapPeriodUnits証明機関スナップインを開きます。
コンソール ツリーで、CA の名前をクリックします。
[操作] メニューの [すべてのタスク] をポイントし、[サービスの停止] をクリックしてサービスを停止します。
[操作] メニューの [すべてのタスク] をポイントし、[サービスの開始] をクリックしてサービスを開始します。
 | 注意 |
|
レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピューター上のすべての重要なデータのバックアップを作成してください。 |
次の表は、この手順で説明する Certutil 構文で使用できる値の一覧を示しています。
| 値 | 説明 |
|---|---|
|
Certutil |
コマンド ライン ツールの名前を指定します。 |
|
-setreg |
レジストリを変更します。 |
|
ca\CRLOverlapUnits |
CRL の重複の設定値を格納するレジストリ値を指定します。 |
|
ca\CRLDelataOverlapUnits |
Delta CRL の重複の設定値を格納するレジストリ値を指定します。 |
|
Value |
このオプションを設定する数値を指定します。 |
|
ca\CRLOverlapPeriod |
CRL の重複の、単位の種類を設定する値を格納するレジストリ値を指定します。 |
|
ca\DeltaOverlapPeriod |
Delta CRL の重複の、単位の種類を設定する値を格納するレジストリ値を指定します。 |
|
Units |
重複期間の単位の種類を指定します。有効な値は、Minutes、Hours、および Days です。 |
| 注 |
|
Delta CRL を発行するように環境が構成されていない場合、CRLDeltaOverlapUnits と DeltaOverlapPeriod の設定は無効になります。 |
その他の考慮事項
-
コマンド プロンプトを開くには、[スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[コマンド プロンプト] の順にクリックします。