証明書失効データは中央で一元管理し、すべてのユーザーがすぐに入手できるようにしておくのが理想的です。しかし、複雑なネットワーク環境では、こうした理想を実現できるとは限らないのが実情です。
ただし、オンライン レスポンダーを使用する組織では、ローカルの証明書失効リスト (CRL) を作成し、更新された失効データをオンライン レスポンダーが証明機関 (CA) や他のオンライン レスポンダーから取得できない間、証明書失効データをローカルで管理することができます。次回の接続確立時に、ローカルの CRL データを CA の CRL にレプリケートして、ローカルの CRL を削除することができます。ローカルの CRL は、削除するまでは失効プロバイダーからの失効状態情報よりも常に優先されます。
この手順を実行するには、オンライン レスポンダーをホストするサーバー上での "オンライン レスポンダーの管理" のアクセス許可が必要です。公開キー基盤 (PKI) の管理の詳細については、「役割ベースの管理を実装する」を参照してください。
 | ローカル CRL の証明書データを変更するには |
オンライン レスポンダー スナップインを開きます。
コンソール ツリーで、[失効構成] をクリックします。
詳細ウィンドウに既存の失効構成の一覧が表示されます。
[失効構成] を右クリックし、[ローカル CRL] をクリックします。
[ローカル CRL] ダイアログ ボックスで、データを変更する対象の証明書を選択します。
[追加] をクリックします。
目的の値を変更します。
[OK] を 2 回クリックして、[ローカル CRL] ダイアログ ボックスを閉じます。
ローカルの失効データが CA 全体の失効データと同期したら、ローカル CRL からすべてのデータを削除する必要があります。
この手順を実行するには、オンライン レスポンダーをホストするサーバー上での "オンライン レスポンダーの管理" のアクセス許可が必要です。PKI の管理の詳細については、「役割ベースの管理を実装する」を参照してください。
| ローカル CRL から証明書を削除するには |
オンライン レスポンダー スナップインを開きます。
コンソール ツリーで、[失効構成] をクリックします。
詳細ウィンドウに既存の失効構成の一覧が表示されます。
失効構成を右クリックし、[ローカル CRL] をクリックします。
[ローカル CRL] ダイアログ ボックスで、ローカル CRL から削除する証明書を 1 つ以上選択します。
[削除] をクリックします。
[OK] を 2 回クリックして、[ローカル CRL] ダイアログ ボックスを閉じます。