証明書失効リスト (CRL) を配布するように WEB1 を構成する
この手順を使用して、WEB サーバー WEB1 を構成して、CRL を配布できます。
ルート CA の拡張には、ルート CA からの CRL は https://pki.corp.contoso.com/pki を介して使用できることが示されていました。 現段階で WEB1 には PKI 仮想ディレクトリがないため、これを作成する必要があります。
この手順を実行するには、Domain Admins のメンバーである必要があります。
注意
次の手順では、ユーザー アカウント名、Web サーバー名、フォルダー名と場所、その他の値を、展開に適した値に置き換える必要があります。
証明書と CRL を配布するように WEB1 を構成するには
WEB1 で、管理者として Windows PowerShell を実行し、「
explorer c:\」と入力して Enter キーを押します。 エクスプローラーが開き、C ドライブが開きます。C: ドライブ上に PKI という名前の新しいフォルダーを作成します。 これを行うには、[ホーム] をクリックし、[新しいフォルダー] をクリックします。 一時的な名前が強調表示された新しいフォルダーが作成されます。 「pki」と入力し、Enter キーを押します。
エクスプローラーで、作成したフォルダーを右クリックし、マウス カーソルを [共有] の上に置き、[特定のユーザー] をクリックします。 [ファイル共有] ダイアログ ボックスが開きます。
[ファイル共有] に「Cert Publishers」と入力し、[追加] をクリックします。 Cert Publishers グループが一覧に追加されます。 一覧の[アクセス許可のレベル] で [Cert Publishers] の横の矢印をクリックし、[読み取り/書き込み] をクリックします。 [共有]をクリックし、[終了] をクリックします。
エクスプローラーを閉じます。
IIS コンソールを開きます。 サーバー マネージャーで、[ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。
インターネット インフォメーション サービス (IIS) マネージャーのコンソール ツリーで、[WEB1] を展開します。 Microsoft Web Platform の案内が表示された場合は、[キャンセル] をクリックします。
[サイト] を展開します。[Default Web Site] を右クリックし、[仮想ディレクトリの追加] をクリックします。
[エイリアス] に「pki」と入力します。 [物理パス] に「C:\pki」と入力し、[OK] をクリックします。
CA 証明書と CRL の妥当性を任意のクライアントがチェックできるようにするために、pki 仮想ディレクトリへの匿名アクセスを有効にします。 そのためには次を行います。
[接続] ウィンドウで、[pki] が選択されていることを確認します。
[pki ホーム] で、[認証] をクリックします。
[操作] ウィンドウで、[アクセス許可の編集] をクリックします。
[セキュリティ] タブで、[編集] をクリックします。
[pki のアクセス許可] ダイアログ ボックスで、[追加] をクリックします。
[ユーザー、コンピューター、サービス アカウントまたはグループの選択] で、「ANONYMOUS LOGON; Everyone」と入力し、[名前の確認] をクリックします。 [OK] をクリックします。
[ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、[OK] をクリックします。
[pki のアクセス許可] ダイアログ ボックスで、[OK] をクリックします。
[pki のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[pki ホーム] ウィンドウで、[要求フィルター] をダブルクリックします。
[要求フィルター] ウィンドウで、[ファイル名拡張子] タブが既定で選択されます。 [操作] ウィンドウで、[機能設定の編集] をクリックします。
[要求フィルター設定の編集] で、[ダブル エスケープを許可する] を選択し、[OK] をクリックします。
[インターネット インフォメーション サービス (IIS) マネージャー MMC] で、Web サーバー名をクリックします。 たとえば、Web サーバーの名前が WEB1 の場合は、[WEB1] をクリックします。
[アクション] で [再起動] をクリックします。 インターネット サービスが停止してから再起動されます。