インターネット プロトコル セキュリティ (IPsec) 強制を行うネットワーク アクセス保護 (NAP) 展開など、多量の証明書を発行するシナリオには、特有の公開キー基盤 (PKI) 要件が伴います。このような要件に対応するために、Windows Server 2008 R2 で導入された次のオプションを使用して、多量の証明書を発行する証明機関 (CA) によって使用される証明書テンプレートを構成できます。これらのオプションは、証明書テンプレートのプロパティ シートの [サーバー] タブから使用できます。

CA データベース内に証明書および要求を保存しない

発行量の多いシナリオで発行された証明書は、通常、発行されてから数時間以内に有効期限が切れ、発行元の CA は多量の証明書要求を処理します。既定では、各要求および発行された証明書のレコードが、CA データベースに保存されます。多量の要求は、CA データベースのサイズ増加率と管理コストを押し上げます。

[CA データベース内に証明書および要求を保存しない] オプションを使用すると、CA が CA データベースにレコードを追加しないで証明書要求を処理するようにテンプレートが構成されます。

重要

このオプションが有効な証明書要求をサポートするように発行元の CA を構成する必要があります。発行元の CA で、次のコマンドを実行します。「CertUtil.exe –SetReg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

発行される証明書に失効情報を含めない

多量の証明書を発行する CA による証明書の失効は、証明書の有効期間が通常発行から数時間以内に切れるために、メリットがありません。

[発行される証明書に失効情報を含めない] オプションでは、発行された証明書の失効情報を CA が除外するようにテンプレートが構成されます。これにより、証明書の検証中に失効状態が確認されなくなり、検証時間が短縮されます。

[CA データベース内に証明書および要求を保存しない] オプションを使用する場合は必ず、このオプションを使用することをお勧めします。


目次