私はADCSを初めて使用しますが、理解することがたくさんあります。 2層のPKIを設定し、DNSのCNAMEを指すWebサーバーにオフラインルートCA証明書(CRT)とCRLファイルを配置しました。ルートから発行された証明書のCDPおよびAIAエクステンソンを構成したときに、CRL/CRTファイル名を含む完全なhttpURLをハードコーディングしました。例 http://cdp.mydomain.com/CertEnroll/myrootca.crl
今、私はそれがどれほど悪い選択だったのか疑問に思っています。置換変数は使用しませんでした。
ルートCAはデルタCRLを使用しないため、CRLファイル名は変更されず、更新されるたびに同じファイル名に置き換えることができると思います。これは正しいです? AIA拡張機能については、ドメイン以外のマシンで証明書を発行または使用する予定がないため、発行された証明書に含めるかどうかを確認しませんでした。ドメインマシンはADで、またはとにかくグループポリシーを介してルート証明書を見つけると思います。
これらのハードURLパスに問題があることが判明した場合、今すぐ更新することは可能ですか。次に発行元のCAの証明書をルートから更新すると、その時点で動的CDPが更新されますか?
問題はないはずです。構成は、CRLファイルの名前をmyrootca.crlにする必要があることを意味します。更新されたままで名前が保持されている限り、クライアントは正常にチェックできます。
すでに発行されている証明書のCDP拡張子を変更することはできません。ただし、CDPポイントのURLを変更する場合、その時点からのすべての新しい証明書は、新しいURLを使用して失効チェックを実行します。 CDP URLを変更した後、CRLがmyrootca.crl名の古いURLにも公開されるようにする必要があります。これにより、古い証明書でも失効チェックを実行できます。
また、CDPリストに3つ以上のCDPポイントが含まれていないことを確認してください。この場合、タイムアウトのために失効チェックが失敗します。