読者です 読者をやめる 読者になる 読者になる

Active Directory証明書サービス(ADCS)でDeltaCRLを無効化する際にちょっとだけ嵌った話

大したことはないのだけれど、備忘のためにメモ。

  • ADCSが停止かつDeltaCRLの有効期限が切れた状態で、DeltaCRLを無効化した。
  • その後ADCSを起動すると証明書が発行できなくなった。
  • 対策として、ADCSの停止⇒DeltaCRLを有効化して⇒ADCSを起動⇒DeltaCRLを無効化することで証明書が再度発行できるようになった。

環境

事象

  • DeltaCRLは有効期限切れ状態。
  • ADCSが停止した状態でmmcの証明機関スナップインを開く
  • 左のツリーから[失効した証明書]を右クリックしプロパティを開く
  • CRL公開のパラメーターで[DeltaCRLを公開する]のチェックをはずす
  • ADCS起動
  • certutil -CRL でCRLを更新
  • CSRファイルを利用して、[すべてのタスク]-[新しい要求の送信]を実行する

⇒証明書発行に失敗する。

 メッセージは「失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした」

原因

事象としては以下と近い

証明書発行に失敗 | Always on the clock

DeltaCRLを利用しないよう設定変更しているので、実際にcertutil -CRLを実施してもCRLのみが更新され、DeltaCRLは更新されない。 しかし、実際には、内部でDeltaCRLが有効期限切れになっているといった情報を保持しているのだと思う*1。 そのため一度DeltaCRLの有効期限切れを解消してから再度DeltaCRLを無効化した。 そうすることで証明書は通常通り発行することができた。

*1:あくまで推測