AD CS 証明書失効の実施手順

はじめに

AD CS を運用中に、証明書 を失効させたい場合の手順です。

なお、この手順は 以下の記事で 環境構築した場合を前提に記載していますが、単純に証明書を失効させたい場合の手順として見ていただいても問題ありません。

1. 証明書失効の手順

1. 「サーバーマネージャー」の「ツール」から、「証明機関」を開きます。
   
   　
   
2. 「発行した証明書」の中から、失効させたい証明書を探します。特に サブジェクト名やサブジェクトの代替名、拇印、発行日付 を確認して、誤って 違う証明書を失効させないように注意しましょう。
   
   　
   
3. 失効させる証明書を右クリックして「すべてのタスク」－「証明書の失効」を選びます。
   
   　
   
4. 以下のウィンドウで、理由コードを選び 失効させる日付を指定してから「はい」を押します。
   （理由コードの選択肢）
   
   （画面）
   
   　
   
5. 証明書の失効を実施すると「失効した証明書」欄に移動されますが、これだけでは 反映されていません。
   
   　
   
6. 「失効した証明書」を右クリックし「すべてのタスク」から「公開」を選択します。
   
   　
   
7. 以下のウィンドウで、「新しい CRL」を選び「OK」を押すことで、失効リスト (CRL) へ結果が反映されます。
   

2. キャッシュのクリア

CRL が 変更されていても、証明書をチェックしたホストには CRL のキャッシュが残っています。
キャッシュが更新されるまでは、引き続き、失効が有効にはなりません。

すぐに、接続テスト を行いたい場合は、CRL のキャッシュクリアを実施します。
※サーバー証明書 の失効チェックは、クライアント PC 側で、そして、クライアント証明書 の失効チェックは、サーバー側 にて行われるため、そのホスト上のキャッシュをクリアします。

証明書をチェックするホスト上で、コマンドプロンプト（管理者）を開き、以下のコマンド ① と ② を続けて実行します。

（コマンド ①）

certutil -urlcache * delete

（実行結果 ①）

（コマンド ②）

certutil -setreg chain\ChainCacheResyncFiletime @now

（実行結果 ②）

「NPS + WiFi + 802.1x 認証 (EAP-TLS)」の環境でクライアント証明書の失効を実施した場合は、NPS サーバー上でキャッシュをクリアします。

その後、失効した証明書を持つ クライアントから WiFi 接続すると、以下の通り、失効エラーがでて 接続できなくなることが確認できます。