Active Directory証明書サービスでセキュアな公開鍵基盤を構築する（2）：基礎から学ぶサーバーマネージャーの使い方（11）（2/3 ページ）

[阿部直樹（Microsoft MVP for Hyper-V），＠IT]

CDPとAIAの公開ポイントを構成する

　続いて、証明書を発行する際に付与される「CDP（CRL Distribution Point：CRL配布ポイント）」と「AIA（Authority Information Access：機関情報アクセス）」を構成する。

• CDP（CRL配布ポイント）：発行CAの証明書失効リスト（CRL）を公開する場所を指定する
• AIA（機関情報アクセス）：発行CAの証明書を公開する場所を指定する

　今回は、発行CAにWebサーバーを構築して「CertData」サブフォルダーを作成し、そこにCDPとなる「.crl」ファイルとAIAとなる「.crt」ファイルを配置する。配置手順は、以下の通り。

（1）スタートメニューから「証明機関」を起動し、「certsrv−［証明機関（ローカル）］」コンソールの左ペインにある「RootCA」を右クリックして「プロパティ」を選択する。

（2）「RootCAのプロパティ」ダイアログボックスが開くので、「拡張機能」タブに移動する。

（3）「拡張機能」タブにある「拡張機能を選択してください」ドロップダウンリストボックスで「CRL配布ポイント（CDP）」を選択して、「追加」をクリックする。

（4）「場所」テキストボックスに発行CAのURL「http://srv03.adatum.com/CertData/」を入力し、「変数」ドロップダウンリストボックスで「＜CaName＞」を選択して、「挿入」をクリックする。

（5）「変数」ドロップダウンリストボックスで「＜CRLNameSuffix＞」を選択して、「挿入」をクリックする。

（6）「変数」ドロップダウンリストボックスで「＜DeltaCRLAllowed＞」を選択して、「挿入」をクリックする。

（7）「場所」テキストボックスに入力したURLの末尾にカーソルを置き、「.crl」と入力して「OK」をクリックする。

（8）以下のオプションを選択して、「適用」をクリックする（画面3）。

• CRLに含め、クライアントはこれを使ってDelta CRLの場所を検索する
• 発行された証明書のCDP拡張機能に含める

画面3　「RootCAのプロパティ」の「拡張機能」タブで「CRL配布ポイント（CDP）」を構成する

（9）証明機関ポップアップウィンドウが立ち上がるので、「いいえ」をクリックする。

（10）今度は、「拡張機能を選択してください」ドロップダウンリストボックスで「機関情報アクセス（AIA）」を選択して、「追加」をクリックする。

（11）「場所」テキストボックスに「http://srv03.adatum.com/CertData/」と入力し、「変数」ドロップダウンボックスで「＜ServerDNSName＞」を選択して、「挿入」をクリックする。

（12）「場所」テキストボックスでURLの末尾にカーソルを置き、アンダースコア（_）を入力し、「変数」ドロップダウンリストボックスで「＜CaName＞」を選択して、「挿入」をクリックする。

（13）「変数」ドロップダウンリストボックスで「＜CertificateName＞」を選択して、「挿入」をクリックする。

（14）「場所」テキストボックスに入力したURLの末尾にカーソルを置き、「.crt」と入力して「OK」をクリックする。

（15）「発行された証明書のAIA拡張機能に含める」チェックボックスをオンにして、「OK」をクリックする（画面4）。

画面4　CDPと同様に、「RootCAのプロパティ」の「拡張機能」タブで「機関情報アクセス（AIA）」を構成する

（16）「はい」をクリックして、証明機関サービスを再起動する。