クライアントが正確な証明書失効リスト (CRL) を常に利用できるように、証明書失効データの定期的な発行スケジュールを作成する必要があります。このスケジュールを作成する際は、正確性を保つために最新データに更新する頻度と、新しい CRL を頻繁にダウンロードすることによりクライアントに与える影響とのバランスについて考慮する必要があります。

この手順を実行するには、証明機関 (CA) 管理者の権限が必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

CRL の発行をスケジュールするには
  1. 証明機関スナップインを開きます。

  2. コンソール ツリーで、[失効した証明書] をクリックします。

  3. [操作] メニューの [プロパティ] をクリックします。

  4. [CRL 公開期間] で、CRL の自動公開の間隔を入力し、その時間の単位をクリックします。

定義した間隔で、既定では、systemroot\system32\CertSrv\CertEnroll\ に新しい CRL が発行されます。コンピューターがドメイン メンバーで、Active Directory ドメイン サービス (AD DS) への書き込みのアクセス許可を持っている場合、CRL は AD DS にも発行されます。

CRL の公開期間は、CRL の有効期間と同じではありません。既定では、CRL の有効期間が、ディレクトリをレプリケートできるように、CRL の公開期間より 10% (最大で 12 時間) 長く設定されます。

Delta CRL の発行をスケジュールする

Delta CRL 発行のスケジュールも作成すると、CRL 発行のスケジュールを拡張することができます。

この手順を実行するには、CA 管理者の権限が必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

Delta CRL の発行をスケジュールするには
  1. 証明機関スナップインを開きます。

  2. コンソール ツリーで、[失効した証明書] をクリックします。

  3. [操作] メニューの [プロパティ] をクリックします。

  4. [Delta CRL を公開する] チェック ボックスをオンにします。

  5. [公開期間] で、Delta CRL の自動発行の増分を入力し、その時間の単位をクリックします。


目次