認証局 (CA) でクライアント証明書を失効させることで、そのクライアント証明書を持つクライアントPCは認証が完了しないので接続できなくなります。
失効の方法は、CRL配布ポイント(CDP)利用の場合もOCSPレスポンダ利用の場合も同じです。
クライアント証明書の失効
試しに、w10-001に発行済みのクライアント証明書を失効させます。
WIN2019のAdministration Toolsから「Certification Authority」を開きます。
「acme-EC2AMAZ-EJGC4H8-CA」の下のa)「Issued Certificates」をクリックします。
b)「Issued Common Name」が「w10-001」で最新のものを右クリック → c)「All Tasks」 → d)「Revoke Certificate」を選択します。
「Yes」をクリックします。
CRLの発行
CRL利用の場合だけでなく、OSCPの場合もCRL発行は必要です。
「acme-EC2AMAZ-EJGC4H8-CA」の下のa)「Revoked Certificates」を右クリック → b)「All Tasks」 → c)「Publish」を選択します。
「New CRL」が選択された状態で、「OK」をクリックします。
[確認のみ] File Explorerで「C:\CRLDist」フォルダのa)「acme-WIN2019-CA.crl」をダブルクリックで開きます。
b)「Revocation List」タブで、失効したクライアント証明書の内容を確認できます。
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!