証明書を発行するときに AIA と CRL を使用しないように Windows 証明書サービスを構成する方法

証明書を発行するときに AIA と CRL を使用しないように Windows 証明書サービスを構成する方法

Windows Server 2008 R2 VM に Windows 証明書サービスがインストールされていますが、証明書を変更して AIA と CRL を使用せず、OCSP レスポンダーのみを使用するようにする必要があります。OCSP は、Windows Server 2008 R2 を実行している別の VM にインストールされており、CA と OCSP レスポンダー証明書テンプレートを指しています。

私ができなかったのは、証明書から AIA と CRL を削除することです。方法を見つけようとしましたが、どなたか助けていただけませんか? これは可能だと聞きました!

ありがとう

アンディ

答え1

これは回答ではありませんが、発行された証明書に CDP 拡張機能を含めることを強くお勧めします。

  1. OCSP サーバーは単一障害点になります。
  2. Windows OCSP サーバーは CRL ベースであるため、OCSP サーバーに CRL 参照を提供する必要があります。
  3. CryptoAPI の動作の 1 つの側面について知っておく必要があります。クライアントが同じ発行者から多数の証明書を受信すると (デフォルト値は 50)、CryptoAPI は OCSP のクエリを停止し、発行者の CRL をダウンロードします。この CRL は期限が切れるまで使用されます。CRL の期限が切れると、CryptoAPI クライアントは、同じ発行者からの証明書の「マジック」数に達するまで OCSP の使用を開始します。クライアントは OCSP の使用を停止し、CRL の使用を試みます。CryptoAPI クライアントがその「マジック」数に達し、CRL が利用できない場合、証明書チェーン エンジンはこの発行者に対して「RevocationOffline」エラーを報告します。

CDP 拡張にはコストがかからないため、必要がない限りアプリケーションの信頼性を低下させるべきではありません。

答え2

解決しました。必要なのは、AIA と CRL から URL を削除することだけです。これにより、証明書に属性が追加されなくなります。すべての失効チェックは、Oracle Access Manager を介して ocsp から実行されます。

関連情報