この手順を使用して、WEB サーバー WEB1 を構成して、CRL を配布できます。
ルート CA の拡張には、ルート CA からの CRL は https://pki.corp.contoso.com/pki を介して使用できることが示されていました。 現段階で WEB1 には PKI 仮想ディレクトリがないため、これを作成する必要があります。
この手順を実行するには、 Domain Admins のメンバーである必要があります。
Note
次の手順では、ユーザー アカウント名、Web サーバー名、フォルダー名と場所、その他の値を、展開に適した値に置き換える必要があります。
証明書と CRL を配布するように WEB1 を構成するには
WEB1 で、管理者として Windows PowerShell を実行し、「
explorer c:\」と入力して Enter キーを押します。 エクスプローラーが開き、C ドライブが開きます。C: ドライブ上に PKI という名前の新しいフォルダーを作成します。 これを行うには、[ ホーム] をクリックし、[ 新しいフォルダー] をクリックします。 一時的な名前が強調表示された新しいフォルダーが作成されます。 pki を入力し、Enter キーを押します。
Windows エクスプローラーで、先ほど作成したフォルダーを右クリックし、[ 共有相手] の上にマウス カーソルを置き、[ 特定のユーザー] をクリックします。 [ ファイル共有 ] ダイアログ ボックスが開きます。
[ ファイル共有] に「 Cert Publishers」と入力し、[ 追加] をクリックします。 Cert Publishers グループが一覧に追加されます。 一覧の [アクセス許可レベル] で、[ 証明書発行元] の横にある矢印をクリックし、[ 読み取り/書き込み] をクリックします。 [ 共有] をクリックし、[ 完了] をクリックします。
エクスプローラーを閉じます。
IIS コンソールを開きます。 サーバー マネージャーで、[ ツール] をクリックし、[ インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。
インターネット インフォメーション サービス (IIS) マネージャーコンソール ツリーで、[ WEB1] を展開します。 Microsoft Web Platform の使用を開始するよう招待された場合は、[ キャンセル] をクリックします。
[ サイト ] を展開し、[ 既定の Web サイト ] を右クリックし、[ 仮想ディレクトリの追加] をクリックします。
[エイリアス] に「pki」と入力します。 物理パスに「C:\pki」と入力し、[OK] をクリックします。
CA 証明書と CRL の妥当性を任意のクライアントがチェックできるようにするために、pki 仮想ディレクトリへの匿名アクセスを有効にします。 そのためには、次の操作を実行します。
[ 接続 ] ウィンドウで、 pki が選択されていることを確認します。
pki ホームで認証をクリックして下さい。
[操作] ウィンドウで、[アクセス許可の編集] をクリックします。
[セキュリティ] タブで、[編集] をクリックします。
[ Pki のアクセス許可 ] ダイアログ ボックスで、[ 追加] をクリックします。
[ ユーザー、コンピューター、サービス アカウント、またはグループの選択] に「 ANONYMOUS LOGON」と入力します。[すべてのユーザー ] をクリックし、[ 名前の確認] をクリックします。 OK をクリックします。
[ユーザー、コンピューター、サービス アカウント、またはグループの選択] ダイアログ ボックスで [OK] をクリックします。
[PKI のアクセス許可] ダイアログ ボックスで [OK] をクリックします。
[PKI のプロパティ] ダイアログ ボックスで [OK] をクリックします。
PKI ホーム ウィンドウで、[要求のフィルター処理] をダブルクリックします。
既定では、[要求のフィルター処理] ウィンドウで [ファイル名拡張子] タブが選択されています。 [操作] ウィンドウで、[機能設定の編集] をクリックします。
[ 要求フィルター設定の編集] で、[ 二重エスケープを許可 する] を選択し、[OK] をクリック します。
[インターネット インフォメーション サービス (IIS) マネージャー MMC] で、Web サーバー名をクリックします。 たとえば、Web サーバーの名前が WEB1 の場合は、[ WEB1] をクリックします。
[アクション] で、[再起動] をクリックします。 インターネット サービスが停止してから再起動されます。