エンタープライズ PKI スナップインは、公開キー基盤 (PKI) の以下のすべての要素が適切に機能し、利用可能であり、さらに有効であることを確認するために使用されます。

  • 証明機関 (CA) : CA は証明書要求を受け取り、CA のポリシーに基づいて要求者の情報を確認してから、その秘密キーを使用して証明書に署名します。次に CA は、PKI 内のセキュリティ資格情報として使用するために、証明書のサブジェクトに対して証明書を発行します。CA は、証明書を取り消し、証明書失効リスト (CRL) を発行する作業も行います。

  • CA の証明書 : CA の証明書は、CA 自身に対して発行された証明書か、2 つの CA 間に定義済みの関係を作成するために第 2 の CA に対して発行された証明書です。CA によって自身に対して発行された証明書は、信頼されたルート証明書と呼ばれます。CA の証明書は、PKI 内で使用するために発行されるすべてのエンドエンティティ証明書に対する証明書パスと使用制限を定義する場合に不可欠です。

  • 機関情報アクセス (AIA) の場所 : 機関情報アクセスの場所は、機関情報アクセス拡張機能内の証明書に追加された URL です。アプリケーションやサービスは、これらの URL を使用して、発行されている CA 証明書を取得することができます。その後、これらの CA 証明書を使用して、証明書の署名を確認したり、信頼される証明書へのパスを構築することができます。

  • CRL : CRL は完全でデジタル署名されたリストであり、有効期限前の取り消された証明書が記載されています。この CRL はクライアントによって取得され、キャッシュしたり (CRL に対して構成された有効期限に基づく)、使用可能な証明書を確認したりするために使用されます。

  • CRL 配布ポイント : CRL 配布ポイントは、CRL 配布ポイント拡張機能内の証明書に追加された場所 (通常は URL) です。CRL 配布ポイントは、CRL を取得するためにアプリケーションやサービスによって使用されます。CRL 配布ポイントは、証明書の有効期限が切れる前にその証明書が取り消されたかどうかを確認する必要があるときに、アプリケーションまたはサービスによってアクセスされます。

証明機関スナップインを使用すると、管理者は、単一の CA に対してこれらの PKI 要素を監視および管理することができます。しかし、複数の CA が関係する場合は、スナップインの個別のインスタンスを使用して PKI の監視と管理を行う必要があります。また、証明機関スナップインは、Microsoft 以外の CA を公開キー基盤へ統合する場合には使用できません。さらに、機関情報アクセスの場所や CRL 配布ポイントのストアを管理する場合にも適していません。ただし、エンタープライズ PKI スナップインを使用することにより、単一のスナップインからこれらの問題を解決することができます。

CA、CA の証明書、機関情報アクセスの場所、CRL 配布ポイント 、および CRL の連携によって公開キー信頼階層を構成する方法の詳細については、証明書サービスのしくみに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=88045) を参照してください。

その他の参照情報