none
証明機関サービスからのユーザー証明書配布、取消について

    質問

  • この場での質問が最適なのかどうかわからないのですが、皆様のお知恵を拝借できればと思いご質問させていただきます。

    職場のネットワークにて証明機関サービスを利用したユーザー証明書の自動配布を行っております。
    ユーザー証明書の使用目的としては社内ネットワークへ接続する際の802.1x認証のためです。

     

    【環境】

     

    証明機関サービスのOS:Windows Server 2003 Enterprise Edition
    その他のサービス:Active Directoryが上記サービスと同じサーバーに存在します。

    ユーザー証明書配布対象のクライアントはWindows XP(SP2)となります。

     

    【現状の説明】

     

    ・証明機関サービスで発行する証明書テンプレート(仮にテンプレート(A)とします)に設定ミスが
     あったため、暫定措置として別のテンプレート(B)を作成しユーザー証明書を配布しました。
      そのため、現状ではクライアント側にはユーザー証明書が2種類入っている状態です。

     この状態でCertutilコマンドで証明書ストアの状態を確認すると、テンプレート(A)と(B)による
     2つのユーザー証明書がクライアントPCに存在しており、どちらもアーカイブされていない状態です。
     (過去にテンプレート(A)により発行されたユーザー証明書のうち、有効期限が切れているものに
     関してはアーカイブされています)

     

    【質問内容】

     

    ・(仮に)クライアントPC側で何らかの障害が発生した際の切り分けを行うため、
     事前にテンプレート(B)にて発行されたユーザー証明書をクライアントPC側から削除あるいは
     アーカイブするにはどのようにしたら一番良いのでしょうか?
     (クライアントPCの台数がかなりあるので手作業で行うのは大変です)

     

    ・当方にて検討した方法としては、

     

    1.各クライアントPCにCertutilコマンドをインストールしているので、このコマンドを使用する。
     この場合は-delstoreオプションを使用するのでは無いかと思いましたが、引数がわかりません。

     

    2.証明機関サービスの「発行された証明書」からテンプレート(B)で発行した証明書を失効させる。
     この方法についてはテスト用のクライアントPCにて実験したのですが、特に変化はなく、(A)(B)で
     発行されたユーザー証明書はそのままでした。
     
    上記について、なにかアドバイスいただけましたら幸いです。

    よろしくお願いいたします。

    2008年2月6日 16:29

回答

  • kageneko さん、こんにちは!
    フォーラム オペレータの鈴木裕子です

     

    投稿からかなり時間がたってしまいましたが、その後いかがでしょうか?
    参考になりそうな公開情報がありましたので、リンクを張っておきますね。

     

    証明書を無効にし、CRL を公開する
    http://technet2.microsoft.com/WindowsServer/ja/library/a4331df0-273b-41a3-95f5-8425d39543c71041.mspx?mfr=true

     

    こちらの
    「証明書失効リスト (CRL) の発行をスケジュールする」に、

    ---
    CA 管理者は、CRL の公開期間と CRL の有効期間が同じではないことを知っておく必要があります。
    CRL の有効期間とは、証明書の確認者がその CRL を有効と見なす期間のことです。
    証明書の確認者は、ローカル キャッシュに有効な CRL がある間は、公開元の CA から新しい CRL を取得しません。
    ---

    とありました。
    それで、kageneko さんがおっしゃっていたように、
    証明書を失効させてもクライアント側では変化がないのかな?と思ったのですが。。。

     

    あとこちらは、
    すでにご覧になっているかもしれませんが、Certutil についての公開情報です。

     

    証明書の管理に関する Certutil のタスク
    http://technet2.microsoft.com/WindowsServer/ja/library/5e0f52f2-f7c8-4c74-9497-be52366df52e1041.mspx?mfr=true


    ご参考になれば幸いです。

    「ユーザー証明書をクライアント PC 側から削除あるいはアーカイブするにはどのようにしたら一番良いか」
    という点については、私ではちょっといいアドバイスが難しいです・・・ごめんなさい

     

    どなたか詳しい方にコメントをいただけるとありがたいです。
    ぜひよろしくお願いします!

    2008年2月28日 9:22

すべての返信

  • kageneko さん、こんにちは!
    フォーラム オペレータの鈴木裕子です

     

    投稿からかなり時間がたってしまいましたが、その後いかがでしょうか?
    参考になりそうな公開情報がありましたので、リンクを張っておきますね。

     

    証明書を無効にし、CRL を公開する
    http://technet2.microsoft.com/WindowsServer/ja/library/a4331df0-273b-41a3-95f5-8425d39543c71041.mspx?mfr=true

     

    こちらの
    「証明書失効リスト (CRL) の発行をスケジュールする」に、

    ---
    CA 管理者は、CRL の公開期間と CRL の有効期間が同じではないことを知っておく必要があります。
    CRL の有効期間とは、証明書の確認者がその CRL を有効と見なす期間のことです。
    証明書の確認者は、ローカル キャッシュに有効な CRL がある間は、公開元の CA から新しい CRL を取得しません。
    ---

    とありました。
    それで、kageneko さんがおっしゃっていたように、
    証明書を失効させてもクライアント側では変化がないのかな?と思ったのですが。。。

     

    あとこちらは、
    すでにご覧になっているかもしれませんが、Certutil についての公開情報です。

     

    証明書の管理に関する Certutil のタスク
    http://technet2.microsoft.com/WindowsServer/ja/library/5e0f52f2-f7c8-4c74-9497-be52366df52e1041.mspx?mfr=true


    ご参考になれば幸いです。

    「ユーザー証明書をクライアント PC 側から削除あるいはアーカイブするにはどのようにしたら一番良いか」
    という点については、私ではちょっといいアドバイスが難しいです・・・ごめんなさい

     

    どなたか詳しい方にコメントをいただけるとありがたいです。
    ぜひよろしくお願いします!

    2008年2月28日 9:22
  • こんにちは。フォーラムオペレータの栗原麻里 です。

     

    kageneko さん、フォーラムのご利用ありがとうございます。

    その後いかがでしょうか?情報がお役に立っていれば幸いです

     

    今回同じフォーラムオペレータの回答ではございますが、皆様の役に立つ情報だと思いましたので
    チェックを付けさせていただきました。

     

    回答済みチェックが付くことにより、フォーラムをご利用していただいている皆様が、有用な情報を
    見つけやすくなります。
    回答された情報が有用だと思われましたら、ぜひ回答済みボタンを押してチェックを付けてくださいね!

     

    kageneko さんはチェックを解除することもできますので、ご確認ください。

     

    それでは、ぜひまたご活用ください!

     

    2008年4月17日 5:04
  • チャブーンです。

     

    certmgr.msc (証明書ストア) の内容をコマンドでいじりたい、という場合、CAPICOM を追加導入することで、可能となったはずです。

     

    CAPICOM は CA リソースを操作するための COM コンポーネントで、標準ではインストールされていません。追加のコンポーネントはしたからインストールできるでしょう。

     

    http://www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en

     

    中にあるサンプルコマンドを利用するといいでしょう。

     

     

    2008年5月5日 12:28