オンライン証明書状態プロトコル (OCSP) 応答の署名証明書には、状態情報を提供する対象のエンド エンティティ証明書への署名に使用されたものと同じ証明機関 (CA) キーで署名する必要があります。
CA キーを更新した後、CA は新しいキーを使用して、新たに発行した証明書に署名します。CA の証明書が更新されてから元の CA 証明書の有効期限日までの間、CA は OCSP 応答の署名証明書を発行または更新できず、このため、オンライン レスポンダーが OCSP 応答に署名できなくなる場合があります。
この問題に対処するため、Windows Server 2008 R2 ベースの CA および Windows Server 2008 ベースの CA は、上記の既定の動作を変更し、既存の CA キーを使用して OCSP 応答の署名証明書を発行するように構成できます。
この手順を実行するには、CA をホストするサーバーの管理者であることが必要です。公開キー基盤 (PKI) の管理の詳細については、「役割ベースの管理を実装する」を参照してください。
 | 既存の CA キーを使用して OCSP 応答の署名証明書を更新できるようにするには |
CA コンピューターでコマンド プロンプトを開き、次のコマンドを入力します。
certutil -setreg ca\UseDefinedCACertInRequest 1Enter キーを押します。
CA サービスを再起動します。