内部Windows認証局のCRLを公開するにはどうすればよいですか?
EnterpriseRoot証明機関を含むActiveDirectoryドメインがあります。ドメインはプライベートドメイン名( "domain.local")を使用し、パブリックドメイン名( "domain.com")もあります。ドメインには次のサーバーが含まれています。
- dc1.domain.local(ドメインコントローラー)
- dc2.domain.local(ドメインコントローラー)
- ca.domain.local(認証局)
- exchange.domain.local(Exchange 2010)
- fw.domain.local(TMG 2010ファイアウォール)
ファイアウォールには、プライベートインターフェイスとパブリックインターフェイスの2つのネットワークインターフェイスと、一連のパブリックIPアドレスがあります。これは、内部ネットワークのデフォルトゲートウェイでもあります。パブリック名「mail.domain.com」を使用してExchangeサーバーのWebサービスを公開し、パブリック名「vpn.domain.com」を使用してSSTPVPNサーバーとしても機能します。関連するすべての証明書は、内部CAから発行されています。このドメインのサービスを使用するすべてのコンピューターは、内部CAの証明書を信頼することになっているため、これは問題ありません。
必要なのは、内部CAの証明書失効リストを公開することです。そうしないと、Windows SSTP VPNクライアントがそれを確認できないと文句を言います(これはレジストリキーを使用して修正できることはわかっていますが、グローバルに管理するのは困難です)。
「ca.domain.local」と「ca.domain.com」の2つの名前を含む証明書を発行し、CAのIIS以降で構成しました。 TMGファイアウォール、およびパブリックURL https://ca.domain.comを使用して内部CAのWebサイトを公開しました。
しかし、ここに問題があります。デフォルトの構成であるhttp://ca.domain.com/SomePath以外のhttp://ca.domain.local/SomePathにCRLがあることを証明書に書き留めるように、CAに指示するにはどうすればよいですか。
また、この情報は発行された各証明書に埋め込まれているため、変更した場合、CRLがどこにあるかを確認できるように、再発行する必要がありますか?
証明機関スナップインを介してCAのCRLの場所を変更する必要があります。 CAを右クリックし、「プロパティ」を選択してから、「拡張機能」タブを選択します。 「CRL配布ポイント」拡張機能を選択し、必要な場所を追加します。
完全な手順はTechnetにあります: http://technet.Microsoft.com/en-us/library/ee649168(WS.10).aspx
残念ながら、CRLパスは発行された証明書に「配線」されているため、以前に発行された証明書がすでにある場合は、それらを再発行する必要があります。古いものに取って代わる新しい証明書テンプレートを作成し、自動登録するようにマシンを構成するだけです。