現象
Windows Server 2012 R2 または Windows Server 2008 R2 で、次の 2 つの公開キー基盤 (PKI) 環境があります。
-
エンタープライズ PKI 環境は、オフラインのルート証明機関 (CA) と、オンラインのエンタープライズ下位 CA を発行します。
-
スタンドアロン (非ドメイン) は、外部 (社内ネットワーク) のために使用する CA をルートします。スタンドアロンのルート CA は、エンタープライズのオンライン レスポンダーのノードでサポートされている、失効構成もあります。たとえば、オンライン証明書状態プロトコル (OCSP) サーバーが 1 つだけ、2 つの PKI インフラストラクチャをサポートしています。
このような場合は、マイクロソフトのオンライン レスポンダーの要求を満たすだけの前に説明した Ca のいずれか 1 つの要求が含まれている OCSP 要求。OCSP 要求には、これらすべての構成されている Ca に対して複数の要求が含まれている、マイクロソフトのオンライン レスポンダーは Ca が構成されていても、応答に失敗します。
原因
この問題は、RFC 5019: 大規模な環境向けの軽量オンライン証明書状態プロトコル (OCSP) プロファイルに準拠している場合でも Windows が RFC 2560 X.509 インターネット公開キー インフラストラクチャ オンライン証明書状態プロトコルに準拠してために発生します。したがって、1 つの OCSP 要求では証明書の 1 つ以上の Windows ではマイクロソフトのオンライン レスポンダーはできません。
解決策
この問題を解決するには、Windows Server 2012 R2 の更新プログラム2967917をインストールまたはこの資料に記載されている修正プログラムをインストールします。
修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトのサポートから使用できます。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。複数の要求をサポートする OCSP クライアントの要求を満たす Microsoft オンライン レスポンダーのインストールにのみこの修正プログラムを適用します。(例: Windows クライアントが OCSP 要求内で複数の要求をサポートしていないこと)。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。
修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス サポートの電話番号一覧、または別のサービス リクエストの作成方法については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
注:
[修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
レジストリ情報
この修正プログラムを有効にして、1 つの OCSP 応答の複数の証明書を許可するには、次のレジストリ サブキーを変更する必要があります。
のレジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OCSPSvc\Responder
DWORD 名:MaxNumOfRequestEntries
DWORD 値:1 より大きい値
注:
