クライアントで証明書失効確認 (CRL) を有効にするかどうかを判断する (ネイティブ モード)
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
証明書失効リスト (CRL) は、公開キー基盤 (PKI) 展開のオプション コンポーネントです。CRL は証明機関が作成して署名したファイルであり、これには発行後に失効した証明書のリストが含まれます。証明機関管理者は、発行した証明書が侵害された場合、または侵害が疑われる場合などに、証明書を失効できます。
PKI 展開で CRL を使用すると、アプリケーションは使用中の証明書の失効ステータス、および信頼されたルート証明につながる証明書の失効ステータスを確認できます。この確認は、つながりのあるすべての証明書が CRL にリストされていないことを確認することで実行されます。証明書が CRL にリストされている場合、信頼できる発行元のものであって有効期間内であっても、アプリケーションが使用する証明書は無効と見なされます。
証明書の失効確認が Configuration Manager 2007 のネイティブ モード クライアント用に有効になっている場合、このクライアントは、ネイティブ モードに構成されている次のサイト システムのうちいずれかとやり取りするたびに CRL を確認します。
管理ポイント
サイト システム共有を使用していない配布ポイント、またはブランチ配布ポイントとして構成されている配布ポイント
ソフトウェアの更新ポイント
状態移行ポイント
重要
タスク シーケンス アクションの結果実行されるクライアント機能では、クライアントが Configuration Manager 2007 SP2 より前のバージョンを実行している場合には必ず CRL チェックが行われます。
クライアントが証明書の失効確認を使用していても、CRL を特定できない場合、クライアントは、証明書がリストにないことを確認できないので、証明チェーンのすべての証明書が失効しているかのように動作します。このシナリオでは、証明書が必要で CRL を使用するすべての接続がエラーになり、Configuration Manager 2007 クライアントはフォールバック ステータス ポイントにエラー メッセージを送信します。
証明書を使用するたびに CRL を確認すると、失効した証明書の使用に対するセキュリティが高くなりますが、接続が遅くなり、クライアントで別の処理が必要になります。このようなセキュリティ チェックの強化は、イントラネット内に含まれるネイティブ モード サイトより、インターネット ベースのクライアント管理で必要になる場合が多くなります。
Configuration Manager サイトでの CRL チェックに関する既定の設定は、サイトがネイティブ モードでインストールされたか、または混在モードでインストールされてからネイティブ モードに移行したかによって違ってきます。クライアントの CRL チェックは、Configuration Manager サイトがネイティブ モードでインストールされている場合には既定で有効になっていて、サイトが混在モードでインストールされからネイティブ モードに移行した場合には既定で無効になっています。
証明書の失効確認をクライアントで有効にするかどうかを決める前に PKI 管理者と相談してから、次の両方の条件があてはまる場合、Configuration Manager 2007 でこのオプションを有効にすることを考慮してください。
PKI インフラストラクチャで CRL がサポートされており、すべての Configuration Manager 2007 クライアント (インターネット ベースのクライアント管理を使用している場合は、インターネットのクライアントも含む) が検出可能な場所に CRL が公開されている。
証明書で構成されているサイト システムに接続するたびに CRL を確認する必要性が、クライアントの高速接続および効率的な処理の必要性より高く、クライアントが CRL を検出できない場合にサーバーに接続できないリスクより高い。
注意
証明書の失効に関する詳細については、Windows Server 2003 製品のヘルプの証明書失効管理に関するセクションを参照してください (https://go.microsoft.com/fwlink/?LinkId=78786)。
IIS では証明書の失効確認が既定で有効になっているので、PKI 展開で CRL を使用している場合は、Configuration Manager サイト システムでさらに設定する必要はありません。
ネイティブ モードのモバイル デバイス クライアントの証明書は、ネイティブ モードのサイト システムから失効および確認できますが、証明書の失効と確認証明書失効リストを使用しません。
参照:
タスク
Configuration Manager クライアントをブロックする方法
クライアントの証明書失効確認 (CRL) を有効または無効にする方法
その他のリソース
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.