手順3: サブ認証局証明書の確定

自動確定処理

エージェントがあり、すべてが計画通りに進んでいる場合は、30日後に、すべてのエージェントがチェックインし、新しい証明書を受信し、システムは自動的に新しい下位認証局証明書を確定します。 詳細については、「確定後の処理」セクションをご参照ください。

手動確定処理

次の理由で、手動で確定コマンドを発行できます。

• エージェントがない場合は、30日間待機せずに手動で確定を強制実行できます。
• エージェントがあり、30日後に (またはメンテナンス タスクの Security Controls 内部最適化で定義されている日数後に) システムが新しい証明書を自動的に確定していない場合は、確定が発生していない理由を評価します。

Stmgmt.exe -commit_authority は、確定の実行時に失敗することが想定されるコンピュータ名を知らせるコマンドです。

多数の未解決の問題、エラー、または警告が発生し、確定を自動的に実行できない可能性があります。 最も考えられる理由は、チェックインしていない (絶対にチェックインしない) 1つ以上の孤立したエージェントといった、エージェント関連の問題です。 選択肢は (1) これらのエージェントをチェックインさせる方法を見つける、(2) コンピュータ ビューからコンピュータを削除する、(3) エージェントをアンインストールするようにコンピュータにフラグを付ける (たとえ、あるコンピュータが一度もチェックインしたことがなくアンインストール コマンドを受け取っていない場合でも、そのコンピュータのエラー/問題を切り抜けるには、エージェントをアンインストールすべきであることを Security Controls が示したという事実だけで十分です)、(4) 確定を手動で発行し、これらのエージェント コンピュータを永久的に孤立させることです。

テストモード

commit_authority コマンドでテストモードを使用し、確定の実行に関する潜在的な問題を示すことができます。コマンド: stmgmt.exe -commit_authority -test

この情報を分析すると、状況を把握したうえで確定を実行するかどうかを決定できます。 状況によっては、強制的に確定し、意図的に特定の問題のコンピュータを隔離できます。

強制的に確定するには

次のコマンドを使用します。stmgmt.exe -commit_authority -force

強制的に確定し、保持するまだチェックインしていないエージェントがない場合は、これらのコンピュータでエージェントを再インストールする必要があります (エージェントはコンソールによって作成された構成情報を使用できず、一般的にチェックインが失敗します)。

確定後の処理

確定コマンドが発行されると、システムは元の自己署名証明書の使用を停止し、新しい下位認証局証明書を使用し始めます。 特に、次の処理が発生します。

• 新しいコンソール証明書が下位認証局証明書から自動的に発行され、コンソール コンピュータのコンピュータ アカウントの個人ストアに保存されます。
• 新しいエージェントがインストールされるか、既存のエージェントの証明書を再発行する必要があるときに、新しいエージェント証明書が自動的に発行されます。 プロセスはネットワーク性能にほとんど影響しません。