オンライン レスポンダーの設定が終了したら、証明書の自動登録と失効を実行でき、オンライン レスポンダーから正確な失効データを入手できることを確認することで、このオンライン レスポンダーが適切に動作しているかどうかを確認できます。

この手順を実行するには、証明機関 (CA) 管理者の権限が必要です。公開キー基盤 (PKI) の管理の詳細については、「役割ベースの管理を実装する」を参照してください。

オンライン レスポンダーが適切に動作していることを確認するには
  1. CA 上で、コンピューターおよびユーザーによる自動登録のための証明書テンプレートをいくつか構成します。

  2. 新しい証明書テンプレートが Active Directory ドメイン サービス (AD DS) に公開されたら、クライアント コンピューターでコマンド プロンプトを開き、次のコマンドを入力して証明書の登録を開始します。

    certutil -pulse

    新しい証明書に関する情報がすべてのドメイン コントローラーにレプリケートされるまで、数時間かかることがあります。

  3. クライアント コンピューターで、証明書スナップインを使用して、新しい証明書が発行されたことを確認します。発行されていない場合は、手順 2. を繰り返します。また、クライアント コンピューターを再起動してから、証明書の自動登録を開始してみてください。

  4. CA 上で、証明機関スナップインを使用して、発行済みの証明書を表示して失効させます。それには、[証明機関 (コンピューター)]、[CA の名前]、[発行した証明書] をクリックし、失効させる証明書を選択します。[操作] メニューの [すべてのタスク] をポイントし、[証明書の失効] をクリックします。証明書の失効理由を選択し、[はい] をクリックします。

  5. 証明機関スナップインのコンソール ツリーで [証明機関 (コンピューター)]、[CA の名前]、[失効した証明書] をクリックし、新しい証明書失効リスト (CRL) を公開します。[操作] メニューの [すべてのタスク] をポイントし、[公開] をクリックします。

  6. クライアント コンピューターで、証明書スナップインを使用して、発行されたいずれかの証明書をエクスポートし、X.509 ファイルとして保存します。

  7. コマンド プロンプトで、次のコマンドを入力します。

    certutil –url <exportedcert.cer>

  8. [URL 取得ツール] ダイアログ ボックスで、[OCSP (AIA から)] をクリックし、[取得] をクリックします。CRL が取得されると、状態が [確認済み] と表示されます。


目次