Active Directory証明書サービスでセキュアな公開鍵基盤を構築する（2）：基礎から学ぶサーバーマネージャーの使い方（11）（3/3 ページ）

CRL公開期間を構成して公開する

　「証明書失効リスト」には公開期間が設定されており、期間を過ぎると無効になる。特にルートCAは通常オフラインルートCAとして構成するので、公開期間を過ぎる前にオンラインにして新たにCRLを公開する必要がある。よって、この公開期間はオフラインルートCAをオンラインにしてCRLを公開する運用タスク間隔を意味する。CRLの公開期間の設定手順は、以下のようになる。（1）RootCA配下の「失効した証明書」を右クリックして、「プロパティ」を選択する。

（2）「失効した証明書のプロパティ」画面が開くので、「CRL公開のパラメーター」タブでCRL公開期間を設定する。今回は「1年」を設定する（画面5）。

画面5　「失効した証明書のプロパティ」の「CRL公開のパラメーター」タブでCRLの公開期間を「1年」に設定する

（3）RootCA配下の「失効した証明書」を右クリックして、「すべてのタスク」から「公開」を選択する。

（4）「CRLの公開」ダイアログボックスで、「OK」をクリックする。

　以上の設定で、有効期間「1年」でCRLが公開される。

　CRLおよびAIAは発行CAのWebで公開するので、エクスプローラーを開き「C:\Windows\System32\CertSrv\CertEnroll」を参照して、全てのファイル（.crlおよび.crt）を発行CAにコピーする。

「ルートCAの証明書」をドメインに参加しているメンバーに配布する

　今回作成した証明機関（CA）を使用する全クライアントの「信頼された証明機関」には、「ルートCAの証明書」を配布する必要がある。なお、ドメインに参加している証明機関は自動的にActive Directoryに登録されるので、クライアントにも「ルートCAの証明書」が自動的に配布される。

　しかし、今回構成したルートCAはドメインに参加していないため、以下の手順で「ルートCAの証明書」を配布する。

（1）スタートメニューから「証明機関」を起動し、「certsrv−［証明機関（ローカル）］」コンソールの左ペインにある「RootCA」を右クリックして、「プロパティ」を選択する。

（2）「RootCAのプロパティ」ダイアログボックスの「全般」タブで、「証明書の表示」をクリックする。

（3）「証明書」ダイアログボックスで、「詳細」タブをクリックする。

（4）「詳細」タブで、「ファイルにコピー」をクリックする。

（5）「証明書のエクスポート」ウィザードが起動するので、「次へ」をクリックする。

（6）「エクスポートファイルの形式」ページで「DER encoded binary X.509（.CER）」を選択し、「次へ」をクリックする。

（7）「エクスポートするファイル」ページで「参照」をクリックする。「ファイル名」テキストボックスに「RootCA」と入力し、「保存」→「次へ」の順にクリックする。

（8）「完了」をクリックして、「OK」を3回クリックする。

　以上の操作で作成されたファイルを発行CAとドメインコントローラーにコピーすればよい。

ルートCAのDNSホストレコードと共有を構成する

　「ルートCAの証明書」をドメインのメンバーに配布できたら、最後にルートCAをDNS（Domain Name System）で検索できるようにAレコードを登録する。

　さらに、ファイルをやりとりできるように、コントロールパネルの「ネットワークと共有センター」で「共有の詳細設定の変更」をクリックし、「ゲストまたはパブリック（現在のプロファイル）」の下にある「ファイルとプリンターの共有を有効にする」オプションをオンにする。

　ここまでの設定で、ルートCA（スタンドアロンCA）の構築は完了だ。次回は、発行CAの構築手順を解説する。