CA 証明書と CRL を仮想ディレクトリにコピーする
この手順を使用して、証明機関から証明書失効リストと Enterprise ルート CA 証明書をお使いの Web サーバー上の仮想ディレクトリにコピーし、AD CS が正しく構成されていることを確認することができます。 以下のコマンドを実行する前に、ディレクトリとサーバーの名前を、実際の展開に適した名前に確実に置き換えてください。
この手順を実行するには、Domain Admins のメンバーである必要があります。
証明書失効リストを CA1 から WEB1 にコピーするには
CA1 で、管理者として Windows PowerShell を実行し、次のコマンドを使用して CRL を公開します。
「
certutil -crl」と入力し、Enter キーを押します。CA1 証明書を、お使いの Web サーバー上のファイル共有にコピーするには、「
copy C:\Windows\system32\certsrv\certenroll\*.crt \\WEB1\pki」と入力して、Enter キーを押します。証明書失効リスト書を、お使いの Web サーバー上のファイル共有にコピーするには、「
copy C:\Windows\system32\certsrv\certenroll\*.crl \\WEB1\pki」と入力して、Enter キーを押します。
CDP と AIA の拡張機能の場所が正しく構成されていることを確認するには、「
pkiview.msc」と入力し、Enter キーを押します。 pkiview Enterprise PKI MMC が開きます。左側のウィンドウで、CA 名をクリックします。
たとえば、CA 名が corp-CA1-CA の場合は、corp-CA1-CA をクリックします。
結果ウィンドウの [状態] 列で、次に示す値に [OK]が表示されていることを確認します。
- CA 証明書
- AIA の場所 #1
- CDP の場所 #1
ヒント
すべての項目の 状態 が [OK]になっていない場合は、次の手順を実行します。
- Web サーバーで共有を開き、証明書と証明書失効リスト ファイルが正常に共有にコピーされたことを確認します。 共有に正常にコピーされていなかった場合は、正しいファイル ソースと共有先を使用してコピー コマンドを変更し、コマンドを再度実行します。
- [CA 拡張] タブで、CDP と AIA の正しい場所を入力したことを確認します。指定した場所に余分なスペースやその他の文字がないことを確認します。
- CRL と CA 証明書を Web サーバー上の正しい場所にコピーしたことと、場所が CA 上で CDP と AIA の場所に指定した場所と一致していることを確認します。
- CA 証明書と CRL が保存されている仮想フォルダーのアクセス許可が正しく構成されていることを確認します。