DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

OCSP、CRLと失効済みTLS/SSLサーバ証明書について

Solution ID : INFO172
Last Modified : 2026/07/02

証明書失効リスト(CRL)と失効済み証明書

通常、認証局(CA)がTLS/SSLサーバ証明書を失効させたかどうかを確認する必要があるのは、クライアントデバイスのみです。クライアントは、Webサイトやメールサーバー、デバイスが信頼できるかどうかをユーザーに警告するために、この確認を行います。

認証局(CA)には、失効させたTLS/SSL証明書の記録を保持することが義務付けられています。認証局はTLS/SSL証明書を失効させた後、その証明書のシリアル番号を取得し、証明書失効リスト(CRL)に追加します。認証局の証明書失効リストを参照するためのURLは、各TLS/SSL証明書の「CRL Distribution Points(CRL配布ポイント)」フィールドに記載されています。

TLS/SSL証明書の失効状況を確認するために、クライアントはこのURLにアクセスし、認証局の証明書失効リスト (CRL)をダウンロードします。その後、CRL内を検索して当該証明書のシリアル番号が含まれていないことを確認し、証明書が失効していないことを検証します。

TLS/SSL証明書の詳細を開くと、その証明書の証明書失効リスト (CRL)のURLを確認できます。まず証明書の「Details」へ行き、「Certificate Extensions」から「CRL Distribution Points(CRL配布ポイント)」を選択すると 、その証明書を発行した認証局の証明書失効リストのURLが表示されます。
 

Chromeの場合:

  1. ブラウザのアドレスバーで、URLの左側にある調整アイコンアイコンをクリックします。
  2. この接続は保護されています」をクリックし、次に「証明書は有効です」をクリックします。


  3. 証明書ビューア」ウィンドウで「詳細」をクリックします。

  4. 証明書のフィールド」に表示される「CRL配布ポイント」を探してクリックします。
    すると、下部に証明書失効リスト(CRL)のURL(複数の場合あり)が表示されます。

Online Certificate Status Protocol(OCSP)と失効済み証明書

TLS/SSL証明書の失効確認において、証明書失効リスト(CRL)に代わり、Online Certificate Status Protocol(OCSP)が主流になりつつあります。CRLでは失効済み証明書の大きなリストをダウンロードする必要がありますが、OCSPを使用すれば、クライアントは証明書のシリアル番号を用いて発行元認証局のOCSPサーバーに問い合わせるだけで、証明書が失効しているかどうかを確認することができます。

証明書を開くと、認証局のOCSPサーバーに接続するためのURLを確認することができます。まず、証明書の「Details」の「Certificate Extensions」で「Authority Information Access(機関情報アクセス)」を選択すると、発行局のOCSPのURLが表示されます。

OCSPステープリングを使用してOCSPプロトコルを強化する方法については、「Enable OCSP Stapling on Your Server(英語サイト)」を参照してください。
 

Microsoft Edgeの場合:

  1. ブラウザのアドレスバーで、アドレスの右側にある鍵アイコンをクリックし、次に「接続がセキュリティーで保護されています」をクリックします。
  2. 次のウィンドウで、「接続がセキュリティーで保護されています」の横に表示される証明書アイコンをクリックします。
  3. 証明書ビューアー」ウィンドウで「詳細」をクリックします。
  4. 証明書のフィールド」に表示される「機関情報アクセス」を探してクリックします。
    すると、下部に認証局のOCSP URLが表示されます。

Microsoft Exchange 2010のエラー

※本セクションは Exchange 2010 に関する過去環境向けの情報です。Exchange Server 2010 は Microsoft の延長サポートが 2020年10月13日に終了しています。

The certificate status could not be determined because the revocation check failed.

Microsoft Exchange 2010は、管理者が誤って失効済みのTLS/SSL証明書を使ってExchangeの設定を行ってしまわないように、証明書の失効状況を確認するよう設計されています。ただしExchange 2010では、証明書を発行した認証局に対して当該TLS/SSL証明書が失効していないことを確認するまで、Exchange管理コンソールでTLS/SSL証明書を割り当てることができません。

このプロセスが問題を引き起こすこともあります。サーバーが認証局に接続して証明書の失効状況を確認できない場合、次のエラーメッセージが表示されます: The certificate status could not be determined because the revocation check failed. このエラーは、証明書が失効しているかのように聞こえるため誤解を招きやすいですが、実際には証明書の失効ではなく、接続の問題が原因であるケースがほとんどです。

この接続の問題は、WinHTTPのプロキシ設定またはファイアウォールの設定により、ExchangeサーバーがCRLまたはOCSPのURLに接続して失効状態のチェックを実行できないことが原因である可能性があります。このエラーのトラブルシューティングには、DigiCert® Certificate Utility for Windowsを使用して、サーバーがCRLまたはOCSPのURLに到達できるかどうかを確認できます。

DigiCert Certificate Utilityを使用してサーバーアクセスを確認する方法

サーバーアクセスのテスト時に、プロキシサーバーへの接続がWinHTTP経由でない場合、DigiCert Certificate Utilityがサーバーのプロキシ設定を自動的に検出できない場合があります。

  1. TLS/SSL証明書がインストールされているExchange 2010サーバーで、DigiCert® Certificate Utility for Windowsの実行ファイル(DigiCertUtil.exe)をダウンロードして保存します。
  2. DigiCert® Certificate Utility for Windowsを実行します(DigiCertUtil をダブルクリック)。
  3. DigiCert Certificate Utility for Windows©で、「Tools」(レンチとドライバーのアイコン)をクリックし、次に「Proxy Settings」をクリックします。
  4. Proxy Settings」ページで、サーバーのプロキシ設定を選択し、WinHTTP設定を確認します。
    1. Server Proxy Settings
      以下の適切な設定を選択します:「64-bit Setting」または「32-bit Setting」。
      Microsoftのコンピューターおよびサーバーでは、32ビットと64ビットのWinHTTP設定が個別に管理されています。
      64ビットサーバーを使用している場合は、両方の設定をテストすることをお勧めします。
    2. Access Type
      プロキシが設定されていない場合は、「Direct Access」と表示されます。
      プロキシサーバーが設定されている場合は、設定されたプロキシサーバーが表示されます。(例:proxy.yourdomain.com:8080)
    3. Proxy Server
      プロキシサーバーが設定されていない場合は、「<none>」と表示されます。
      プロキシサーバーが設定されている場合は、プロキシサーバーの設定内容が表示されます。
    4. Bypass List
      プロキシサーバーが設定されていない場合は、「<none>」と表示されます。
      プロキシサーバーが設定されている場合は、そのプロキシを使用しないように設定されたドメインのリストが表示されます。(例:お使いのActive Directoryドメイン
  5. Test DigiCert CRL access」を選択し、「Perform Test」をクリックします。
  6. DigiCert UtilityがDigiCertのCRLサーバーに到達できた場合、「successfully reached」というメッセージが表示されます。「OK」をクリックします。
  7. 次に、「Test DigiCert OCSP access」を選択し、「Perform Test」をクリックします。
  8. DigiCert UtilityDigiCertOCSPサーバーに到達できた場合、「successfully reached」というメッセージが表示されます。「OK」をクリックします。

※本ページは、こちら (英語版 KnowledgeBase) のページをもとに作成されています。