クロス ルート 証明 書 確認 方法

クロス ルート 証明 書 確認 方法: クロスルート証明書の背後にある基本的な考え方と、それらを Windows OS で使用する方法について説明します。クロスルート証明書は、古いルート証明書と新しいルート証明書の両方に個別のキー ペアを使用する認証局です。

ある鍵ペアのルート証明書が信頼されている場合、クロスルート証明書を「中間証明書」として扱うことで、別の鍵ペアのルート証明書を信頼することができます。

クロス ルート 証明 書 確認 方法
クロス ルート 証明 書 確認 方法

「クロスルート証明書」クロスルート工法とは?

従来の証明書階層で利用されるルート証明書に加えて、クロスルート用の中間証明書を設定することで、クロスルート技術が構成されます。この方法は、別のルート証明書への接続を可能にする仕組みです。 SSL/TLS クライアントに必要なルート証明書のいずれかを登録することで、SSL/TLS 通信を行うことができます (PC ブラウザ、スマートフォンなど)。

必要なルート証明書が複数登録されている場合、SSL/TLS クライアントの仕様により、どのルート証明書を使用するかが決まります。ルート証明書が多数登録されている場合、ルート証明書は 1 つだけ使用されます。

クロスルート証明書の生成?

クロスルート証明書は、Active Directory 証明書サービスで作成された CA サーバーによって自動的に生成されます。以前に行ったように、キー ペアを更新し、ルート証明書を更新する必要があります。 certsrv管理コンソールの[認証局(ローカル)]-[CA名>]を右クリックし、表示されるコンテキストメニューから[すべてのタスク]-[CA証明書の更新]を選択します。

クロスルート証明書を使用していますか?

ルート証明書およびクロスルート証明書とチェーンできる証明書のパラメーターが正しいことを確認してください。

1) [実行] メニューに移動し、「certlm.msc」と入力して、[OK] ボタンをクリックします。

2) 画面左側に表示されるメニューから [証明書 – ローカル コンピュータ] – [信頼されたルート証明機関] – [証明書] を選択します。

3) 対象のルート証明書をマウスの右ボタンで選択し、[プロパティ]を選択します。

4) 「クロス証明書」というラベルの付いたタブに移動します。

5) [クロスルート証明書をダウンロードする URL] というラベルの付いたセクションで、クロスルート証明書を発行する Web サイトの URL を入力し、[URL を追加] というラベルの付いたリンクをクリックします。

6) URL が含まれていることを確認したら、[適用]、[OK] の順にクリックして手順 7 に進みます。

クロス ルート 証明 書 確認 方法
クロス ルート 証明 書 確認 方法

相互認証のダウンロード?

証明書の検証が行われるたびに、[クロス証明書] 設定がオンになっているクロスルート証明書がその検証の対象になります。ただし、証明書を確認するたびにクロスルート証明書をダウンロードするため、通信負荷が高くなります。したがって、既にダウンロードされているクロスルート証明書は、ダウンロードされた後にダウンロードされ、キャッシュに格納されます。使用後にキャッシュをそのまま保持する場合は、クロスルート証明書を URL からダウンロードしないでください。

更新されていない閉鎖的な環境で使用しますか?

Windows または Mac のユーザーがクロスルート証明書と中間 CA 証明書の両方を使用する Web サイトにアクセスすると、クロスルート証明書は証明書パスを構築するプロセスから自動的に除外されます。これは、ユーザーが Windows と Mac のどちらを使用しているかに関係なく当てはまります。

環境下での利用を考慮して、クロスルート証明書を設定から外すことをお勧めします。これは、Web を閲覧する場合、Web サーバー側を 4 層に設定しても、クロスルート証明書を除いた認証パスが構築されると考えられ、大きな影響はないと想定されるためです。ただし、レガシーの古い環境やその他の環境では、クロスルート証明書を設定から削除することをお勧めします。

影響、そしてそれに対して何ができるか?

上記3.(1)の構成において、当社のSSL/TLSサーバー証明書を利用するためには、Webサーバーに「クロスルート証明書」「中間CA証明書」「SSL/TLS証明書」が必要です。サーバー証明書」の設定が構成されています。 4階でご利用の場合、バリデーションの問題が発生する可能性がございます。

3層に変更するには、設定から「クロスルート証明書」を削除し、Webサーバーに「中間CA証明書」と「SSL/TLSサーバー証明書」を設定してください。

これは、「クロスルート証明書」に関して私が持っているすべての情報です。他に有力な情報は知りませんでした。何かを見落としていると思われる場合、または何かを見落としていると思われるために追加情報が必要な場合は、ブログのこのページにコメントを残してください。何かを省略したように感じた場合は、そのように考えるのはまったく正しいことです。

クロス ルート 証明 書 確認 方法 https://doctorsandhealth.com/