オンライン レスポンダーが正しく機能するためには、有効なオンライン証明書状態プロトコル (OCSP) 応答の署名証明書を取得する必要があります。OCSP 応答の署名証明書は、Microsoft 以外の OCSP レスポンダーを使用する場合も必要です。

OCSP レスポンダー サービスをサポートするように証明機関 (CA) を構成するには、次の手順を実行します。

  1. OCSP 応答の署名証明書の証明書テンプレートと発行プロパティを構成します。

  2. オンライン レスポンダーをホストするすべてのコンピューターに対して登録アクセス許可を構成します。

  3. Windows Server 2003 ベースの CA の場合は、発行済み証明書内で OCSP 拡張を有効にします。

  4. オンライン レスポンダーまたは OCSP レスポンダーの場所を、CA の機関情報アクセス拡張に追加します。

  5. CA に対して OCSP 応答の署名証明書テンプレートを有効にします。

OCSP 応答の署名証明書の発行に使用される証明書テンプレートには、"OCSP 失効確認なし" という名前の拡張と、OCSP 署名アプリケーション ポリシーが含まれている必要があります。また、オンライン レスポンダーのホスト コンピューターがこの証明書を登録できるようにアクセス許可が構成されている必要もあります。

次に、Windows Server 2008 R2 または Windows Server 2008 が動作するコンピューター上に CA がインストールされている場合の手順を説明します。

この手順を実行するには、最低限でも Domain AdminsEnterprise Admins、またはそれと同等のメンバーシップが必要です。公開キー基盤 (PKI) の管理の詳細については、「役割ベースの管理を実装する」を参照してください。

Windows Server 2008 R2 ベースの CA または Windows Server 2008 ベースの CA によって発行される OCSP 応答の署名証明書の証明書テンプレートを構成するには
  1. 証明書テンプレート スナップインを開きます。

    CA またはオンライン レスポンダーがインストールされていないコンピューター上でこの手順を実行する場合は、証明書テンプレート スナップインを使用するために、Active Directory 証明書サービス (AD CS) のリモート サーバー管理ツールをインストールする必要があります。リモート サーバー管理ツールの詳細については、「別のコンピューターからオンライン レスポンダーを管理する」を参照してください。

  2. [OCSP 応答の署名] テンプレートを右クリックし、[プロパティ] をクリックします。

  3. [セキュリティ] タブをクリックします。[グループ名またはユーザー名] で、[追加] をクリックします。

  4. [オブジェクトの種類] で、[コンピューター] チェック ボックスをオンにし、[OK] をクリックします。

  5. オンライン レスポンダー サービスまたは OCSP レスポンダー サービスのホスト コンピューターの名前を入力するか、参照して選択し、[OK] をクリックします。

  6. [グループ名またはユーザー名] ボックスで、コンピューター名をクリックし、[許可] の [読み取り] チェック ボックスと [登録] チェック ボックスをオンにします。[OK] をクリックします。

次に、Windows Server 2003 が動作するコンピューター上に CA がインストールされている場合の手順を説明します。この手順は、Windows Server 2008 R2 または Windows Server 2008 が動作するコンピューター上で実行する必要があります。

この手順を実行するには、最低限でも Domain AdminsEnterprise Admins、またはそれと同等のメンバーシップが必要です。PKI の管理の詳細については、「役割ベースの管理を実装する」を参照してください。

Windows Server 2003 ベースの CA によって発行される OCSP 応答の署名証明書の証明書テンプレートを構成するには
  1. 証明書テンプレート スナップインを開きます。

  2. [OCSP 応答の署名] テンプレートを右クリックし、[テンプレートの複製] をクリックします。[Windows 2003 Server Enterprise Edition] をクリックし、[OK] をクリックします。

  3. [セキュリティ] タブをクリックします。[グループ名またはユーザー名] で [追加] をクリックし、オンライン レスポンダー サービスまたは OCSP レスポンダー サービスのホスト コンピューターの名前を入力するか、参照して選択します。

  4. [オブジェクトの種類] で、[コンピューター] チェック ボックスをオンにし、[OK] をクリックします。

  5. オンライン レスポンダー サービスまたは OCSP レスポンダー サービスのホスト コンピューターの名前を入力するか、参照して選択し、[OK] をクリックします。

  6. [グループ名またはユーザー名] ボックスで、コンピューター名をクリックし、[許可] の [読み取り] チェック ボックスと [登録] チェック ボックスをオンにします。

既定の OCSP 応答の署名証明書テンプレートには、"OCSP 失効確認なし" という名前の拡張が含まれています。この拡張は、その署名証明書で署名された応答が有効であることを検証するために多数のクライアントで使用されるため、削除しないでください。

Windows Server 2003 が動作するコンピューターに CA がインストールされている場合は、次の手順を実行して、この拡張を含む証明書を発行するように CA 上のポリシー モジュールを構成する必要があります。

この手順を実行するには、ローカル管理者の権限が必要です。PKI の管理の詳細については、「役割ベースの管理を実装する」を参照してください。

Windows Server 2003 が動作するコンピューターを OCSP 応答の署名証明書を発行するように準備するには
  1. CA のホスト サーバーでコマンド プロンプトを開き、次のコマンドを入力します。

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
  2. CA を停止し、再起動します。これには、コマンド プロンプトで次のコマンドを実行します。

    net stop certsvc
    net start certsvc

CA を OCSP 用に構成するには、証明機関スナップインを使用して、次の CA 構成手順を実行する必要があります。

  • オンライン レスポンダーまたは OCSP レスポンダーの場所を、機関情報アクセス拡張に追加します。

  • CA に対して証明書テンプレートを有効にします。

この手順を実行するには、CA 管理者の権限が必要です。PKI の管理の詳細については、「役割ベースの管理を実装する」を参照してください。

オンライン レスポンダーまたは OCSP レスポンダー サービスをサポートするように CA を構成するには
  1. 証明機関スナップインを開きます。

  2. コンソール ツリーで、CA の名前をクリックします。

  3. [操作] メニューの [プロパティ] をクリックします。

  4. [拡張機能] タブをクリックします。

  5. [拡張機能を選択してください] ボックスの一覧で、[機関情報アクセス (AIA)] をクリックし、[追加] をクリックします。

  6. ユーザーが証明書失効データを取得できる場所 (http://コンピューター名/ocsp など) を指定します。

  7. [OCSP (Online Certificate Status Protocol) 拡張に含める] チェック ボックスをオンにします。

  8. 証明機関スナップインのコンソール ツリーで、[証明書テンプレート] を右クリックし、[発行する証明書テンプレート] をクリックします。

  9. [証明書テンプレートの選択] で、[OCSP 応答の署名] テンプレートと、以前構成したその他の任意の証明書テンプレートを選択し、[OK] をクリックします。

  10. [証明書テンプレート] をダブルクリックし、変更した証明書テンプレートが一覧に表示されることを確認します。


目次