失効プロバイダーは、証明機関 (CA) から証明書失効リスト (CRL) を取得し、取得した失効リストを使用して証明書の失効状態を判定します。CRL とオプションの Delta CRL の場所を 1 つ以上指定する場合や、更新された CRL を取得する更新間隔を定義する場合は、[失効プロバイダー] プロパティ シートを使用します。
Base CRL と Delta CRL の場所
CRL および Delta CRL の場所は、下の表に示す形式で指定できます。CA 証明書の CRL 配布ポイント拡張機能内で定義されている CRL の場所はすべて、オンライン レスポンダー サービスのインストール時に失効プロバイダーに追加されます。
| 場所の形式 | 例 |
|---|---|
HTTP | http://OnlineResponderHost/OCSP/CRLFile.crl |
LDAP | ldap:///CN=CACommonName,CN=CAHostName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint |
CRL に対して複数の場所を提供できます。リストの順序によって、優先順位が定義されます。どの 2 つの CRL にも同じ失効リストが含まれていない場合は、リスト内で優先順位の高い方の CRL が使用されます。
更新間隔
既定の更新間隔は、CRL の有効期間として定義されています。間隔を分単位で定義して CRL の更新頻度を増やすこともできます。