要件と例外

このセクションでは、独自の CA を使用して新しい認証局証明書を生成することを選択した場合に満たす必要のある要件を示します。

サブ認証局証明書としてサーバ SSL 証明書 (ワイルドカード証明書など) を使用することはできません。

新しいサブ認証局証明書の要件

証明書を発行するとき

• 基本制約拡張が必要です

拡張は、証明書が他の証明書を発行できることを示します。 パラメータ長が0であることを指定できます (証明書を使用して発行証明書を作成できない)。 詳細については、「RFC 5280」をご参照ください。

• KeyCertSign および CrlSign キー使用拡張が必要です
• DER ASN.1を使用する必要があります
• 各コンソールサーバーごとに個別の証明書を発行する必要があります。複数のコンソールサーバーに単一の証明書を発行することはできません。

コンソール コンピュータに証明書をインストールするとき

• 関連付けられた秘密鍵が必要です
• コンピュータ アカウントの中間認証局ストアに保存する必要があります。

例外

サードパーティ CA と動作するように環境を構成するときには、コンソールは有効期限が切れるルート証明書を自動的に更新しません。 証明書が有効期限に近づいているときには Security Controls で警告が表示されませんが、ローカル管理者は独自の CA を使用して新しい証明書を手動で作成できます。