失効プロバイダーは、証明機関 (CA) から証明書失効リスト (CRL) を取得し、取得した失効リストを使用して証明書の失効状態を判定します。CRL とオプションの Delta CRL の場所を 1 つ以上指定する場合や、更新された CRL を取得する更新間隔を定義する場合は、[失効プロバイダー] プロパティ シートを使用します。

Base CRL と Delta CRL の場所

CRL および Delta CRL の場所は、下の表に示す形式で指定できます。CA 証明書の CRL 配布ポイント拡張機能内で定義されている CRL の場所はすべて、オンライン レスポンダー サービスのインストール時に失効プロバイダーに追加されます。

場所の形式

HTTP

http://OnlineResponderHost/OCSP/CRLFile.crl

LDAP

ldap:///CN=CACommonName,CN=CAHostName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint

CRL に対して複数の場所を提供できます。リストの順序によって、優先順位が定義されます。どの 2 つの CRL にも同じ失効リストが含まれていない場合は、リスト内で優先順位の高い方の CRL が使用されます。

更新間隔

既定の更新間隔は、CRL の有効期間として定義されています。間隔を分単位で定義して CRL の更新頻度を増やすこともできます。

その他の参照情報


目次