証明書失効リスト (CRL) と Delta CRL の間の重複期間を構成することで、この 2 つの関係を調整できます。この設定は、次の Base CRL または Delta CRL の発行が遅れる場合、またはクライアントがスケジュールされた発行時刻に新しい CRL または Delta CRL を取得できない場合に特に便利です。

CRL の重複期間は発行済み CRL の最終有効期間です。この間にクライアントは、古い CRL が使用不能と見なされる前に、新しい CRL を取得することができます。この値の既定の設定は、CRL の有効期間の 10% です。一部の環境では、CRL をレプリケートするためにより長い期間が必要な場合があるため、この設定を手動で構成できます。

CRL または Delta CRL の重複期間の最大値は 12 時間です。

Base CRL と Delta CRL の両方が最近発行された場合、両方の CRL に失効した証明書が表示されることがあります。これは、新しい Delta CRL が古い Base CRL を指している状態で、新しい Base CRL がレプリケートされているためです。両方の CRL に証明書を表示することで、失効情報を使用できます。

この手順を実行するには、証明機関 (CA) 管理者の権限が必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

CRL および Delta CRL の重複期間を構成するには
  1. コマンド プロンプトで、次のコマンドを入力します。

    certutil -setreg ca\CRLOverlapUnits Value

    certutil -setreg ca\CRLOverlapPeriod Units

    certutil -setreg ca\CRLDeltaOverlapUnits Value

    certutil -setreg ca\DeltaOverlapPeriod Units

  2. 証明機関スナップインを開きます。

  3. コンソール ツリーで、CA の名前をクリックします。

  4. [操作] メニューの [すべてのタスク] をポイントし、[サービスの停止] をクリックしてサービスを停止します。

  5. [操作] メニューの [すべてのタスク] をポイントし、[サービスの開始] をクリックしてサービスを開始します。

注意

レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピューター上のすべての重要なデータのバックアップを作成してください。

次の表は、この手順で説明する Certutil 構文で使用できる値の一覧を示しています。

説明

Certutil

コマンド ライン ツールの名前を指定します。

-setreg

レジストリを変更します。

ca\CRLOverlapUnits

CRL の重複の設定値を格納するレジストリ値を指定します。

ca\CRLDelataOverlapUnits

Delta CRL の重複の設定値を格納するレジストリ値を指定します。

Value

このオプションを設定する数値を指定します。

ca\CRLOverlapPeriod

CRL の重複の、単位の種類を設定する値を格納するレジストリ値を指定します。

ca\DeltaOverlapPeriod

Delta CRL の重複の、単位の種類を設定する値を格納するレジストリ値を指定します。

Units

重複期間の単位の種類を指定します。有効な値は、Minutes、Hours、および Days です。

Delta CRL を発行するように環境が構成されていない場合、CRLDeltaOverlapUnits と DeltaOverlapPeriod の設定は無効になります。

その他の考慮事項

  • コマンド プロンプトを開くには、[スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[コマンド プロンプト] の順にクリックします。

その他の参照情報


目次