CA1 で CDP および AIA 拡張機能を構成する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

この手順を使用して、CA1 で証明書失効リスト (CRL) 配布ポイント (CDP) および機関情報アクセス (AIA) の設定を構成できます。

この手順を実行するには、Domain Admins のメンバーである必要があります。

CA1 で CDP および AIA 拡張機能を構成するには

  1. サーバー マネージャーで、[ツール] をクリックし、[証明機関] をクリックします。

  2. 証明機関のコンソール ツリーで、[corp-CA1-CA] を右クリックし、[プロパティ] をクリックします。

    注意

    コンピューターの名前が CA1 ではない場合や、ドメイン名がこの例とは異なる場合、CA の名前は異なります。 CA 名の形式は "ドメイン"-"CA コンピューター名"-CA です。

  3. [拡張機能] タブをクリックします。[拡張の選択][CRL 配布ポイント (CDP)] に設定されていることを確認します。[ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください] で、次の操作を行います。

    1. エントリ file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl を選択し、[削除] をクリックします。 [削除の確認] で、[はい] をクリックします。

    2. エントリ http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl を選択し、[削除] をクリックします。 [削除の確認] で、[はい] をクリックします。

    3. パス ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> で始まるエントリを選択し、[削除] をクリックします。 [削除の確認] で、[はい] をクリックします。

  4. [ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください] で、[追加] をクリックします。 [場所の追加] ダイアログ ボックスが表示されます。

  5. [場所の追加][場所] で、「http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」と入力し、[OK] をクリックします。 これにより、[CA properties] (CA のプロパティ) ダイアログ ボックスに戻ります。

  6. [拡張機能] タブで、次のチェック ボックスをオンにします。

    • CRL に含め、 クライアントはこれを使って Delta CRL の場所を検索する

    • 発行された証明書の CDP 拡張機能に含める

  7. [ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください] で、[追加] をクリックします。 [場所の追加] ダイアログ ボックスが表示されます。

  8. [場所の追加][場所] で、「file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」と入力し、[OK] をクリックします。 これにより、[CA properties] (CA のプロパティ) ダイアログ ボックスに戻ります。

  9. [拡張機能] タブで、次のチェック ボックスをオンにします。

    • この場所に CRL を公開する

    • Delta CRL をこの場所に公開する

  10. [拡張の選択][機関情報アクセス (AIA)] に変更し、[ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください] で、次の操作を行います。

    1. パス ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services で始まるエントリを選択し、[削除] をクリックします。 [削除の確認] で、[はい] をクリックします。

    2. エントリ http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt を選択し、[削除] をクリックします。 [削除の確認] で、[はい] をクリックします。

    3. エントリ file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt を選択し、[削除] をクリックします。 [削除の確認] で、[はい] をクリックします。

  11. [Specify locations from which users can obtain the certificate for this CA] (ユーザーがこの CA の証明書を入手できる場所を指定してください) で、[追加] をクリック します。 [場所の追加] ダイアログ ボックスが表示されます。

  12. [場所の追加][場所] で、「http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt」と入力し、[OK] をクリックします。 これにより、[CA properties] (CA のプロパティ) ダイアログ ボックスに戻ります。

  13. [拡張機能] タブで、[Include in the AIA of issued certificates] (発行された証明書の AIA に含める) を選択します。

  14. Active Directory 証明書サービスを再起動するかどうかを指定するように求められたら、[いいえ] をクリックします。 後でサービスを再起動します。