属性証明書とは何ですか？なぜ誰かが理由コードによって証明書を分割するのですか？

証明書のステータスと失効の確認 では、これらのオプションのいくつかについて説明します。

パーティショニング

なぜ証明書をパーティション分割するのかはわかりませんが、Windowsクライアントとサーバーに関して、いくつかの興味深いサポート問題があります。 Windows CAは、パーティション化されたCRLSの発行をまったくサポートしていません。

Windows暗号化システムが証明書を検証するとき、IssuingDistributionPointまたはonlyContainsUserCertsまたはonly ContainsCACertsの値のみをチェックします。他のフィールドはサポートされていません。さらに、HoldInstructionCode、InvalidityDate、CertificateIssuer、またはIssuerAltName拡張機能は、クリティカルでない場合は無視され、RFC 3280に従ってクリティカルとマークされている場合は失敗します。

さらに、Windowsでは、IDPの「onlySomeReasons」および「indirectCRL」フィールド サポートされていません。

CRL理由コード

失効のプロセスでは、CRL理由コードの1つを使用して、有効期限が切れる前に証明書を無効にします。

注Windowsは、サーバーまたはクライアントとしての理由コードによるCRLの分割をサポートしていません。 （サーバーまたはクライアントとして）パーティション分割をサポートしているソフトウェアや、なぜそれが必要なのかについての詳細情報はありません。

証明書が取り消されると、証明書の発行者は、アクションが実行された理由を指定できます。これは、失効理由を指定することによって行われます。これらの理由はRFC 3280で定義されており、以下が含まれます。

• キーの侵害証明書に関連付けられている秘密キーが危険にさらされており、権限のない個人が所有しているトークンまたはディスクの場所。これには、ラップトップの盗難やスマートカードの紛失が含まれます。

• CAの侵害CAの秘密鍵が格納されているトークンまたはディスクの場所が危険にさらされており、権限のない個人が所有しています。 CAの秘密鍵が取り消されると、取り消された証明書に関連付けられた秘密鍵を使用して署名された、CAによって発行されたすべての証明書が取り消されたと見なされます。

• 所属の変更証明書のDN属性に示されている、組織とのユーザーの関係が終了しました。この失効コードは、個人が退職した場合、または組織を辞任した場合に最もよく使用されます。セキュリティポリシーで部門別のCAが発行する別の証明書を要求しない限り、ユーザーが部門を変更するときに証明書を取り消す必要はありません。

• 置き換え代替証明書がユーザーに発行されましたが、その理由は前の理由には該当しません。この失効理由は、スマートカードが失敗した場合、トークンのパスワードをユーザーが忘れた場合、またはユーザーの正式な名前が変更された場合に最もよく使用されます。

• 運用の停止CAが廃止された（使用されなくなった）場合、CAの証明書をこの理由コードで失効させる必要があります。 CAが新しい証明書を発行しなくても、現在発行されている証明書のCRLを公開している場合は、CAの証明書を失効させないでください。

• 証明書の保留CAが特定の時点で証明書を保証しないことを示す一時的な失効。証明書がCertificateHold理由コードで取り消されると、その証明書は別の理由コードで取り消されるか、取り消されずに使用に戻されます。

注CertificateHoldでは証明書を「取り消す」ことができますが、証明書が特定の期間有効であったかどうかを判別することが困難になるため、証明書を保留することはお勧めしません。

• RemoveFromCRL証明書がCertificateHold理由コードで取り消された場合、証明書を「取り消す」ことができます。取り消しプロセスでは、CRLに証明書がリストされますが、理由コードはRemoveFromCRLに設定されています。これはCertificateHoldの理由に固有であり、DeltaCRLでのみ使用されます。

• 未指定「未指定」の理由コードで証明書を取り消すことは可能ですが、証明書が取り消された理由に関する監査証跡が提供されないため、お勧めできません。