[GP]「証明書パス検証の設定」のレジストリ

今回は、
「証明書パス検証の設定」で利用されているレジストリについてです。

ポリシーの場所:
コンピューターの構成>Windowsの設定>セキュリティの設定>公開キーのポリシー

1.保存場所
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates

(1)ストア
ユーザーごとの証明書ストア
 ・ユーザーが信頼するルート証明機関(CA)が証明書の検証に使用されることを許可する(推奨)
 ・ユーザーがピア信頼証明書を信頼することを許可する(推奨)
 ・ルート証明書ストア
  クライアントコンピューターが信頼できるルートCA:
   ・サードパーティのルートCAとエンタープライズのルートCA(推奨)
   ・エンタープライズのルートCAのみ
 ・CAは、ユーザープリンシパル名の制約にも準拠する必要がある(推奨されません)
  

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\RootProtectedRoots
Flags(REG_DWORD)
0:推奨が全て有効
1:ユーザーが信頼するルート証明機関(CA)が証明書の検証に使用されることを許可する(推奨)を無効
65536:ユーザーがピア信頼証明書を信頼することを許可する(推奨)を無効
8:クライアントコンピューターが信頼できるルートCA:をエンタープライズのルートCAのみへ変更
16:CAは、ユーザープリンシパル名の制約にも準拠する必要がある(推奨されません)を有効

ということで、推奨設定の0を基本とし個別の設定各設定のみを変更した場合の値です。
複合値は記載しませんので、用途に合わせ確認してみて下さい。

証明書の目的を選択
PeerUsages(REG_MULTI_SZ)
初期値:
1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.3.6.1.4.1.311.10.3.4

(2)信頼された発行元
信頼された発行元の管理
 ・すべての管理者およびユーザーにユーザーが所持する信頼された発行元の管理を許可する
 ・すべての管理者のみに信頼された発行元の管理を許可する
署名を検証する際の追加チェック
 ・発行元の証明書が失効していないことを検証する(推奨)
 ・タイムスタンプの証明書が失効していないことを検証する。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisherSafer
AuthenticodeFlags(REG_DWORD)
0:すべての管理者およびユーザーにユーザーが所持する信頼された発行元の管理を許可する
1:すべての管理者のみに信頼された発行元の管理を許可する
256:発行元の証明書が失効していないことを検証する(推奨)
512:タイムスタンプの証明書が失効していないことを検証する。

(3)ネットワークの設定
Microsoftルート証明書プログラムで証明書を自動更新する
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
DisableRootAutoUpdate(REG_DWORD)
有効:0
無効:1

既定の取得タイムアウトの設定
 既定のURL取得タイムアウト(秒)(推奨する設定:15)
 ChainUrlRetrievalTimeoutMilliseconds(REG_DWORD)
 15秒:15000
 既定のパス検証取得累積タイムアウト(秒)(推奨する設定:20)
 ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds(REG_DWORD)
 20秒:20000

パス検証時に発行者証明書(AIA)取得を許可する(推奨)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
Options(REG_DWORD)
有効:0
無効:2

クロス証明書ダウンロード間隔(時間)(推奨する設定:168)
CrossCertDownloadIntervalHours(REG_DWORD)
168時間:168

(4)失効
常にオンライン証明書状態プロトコル(OCSP)応答よりも証明書失効リスト(CRL)を優先する
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\ChainEngineConfig
 同じCRL配布ポイントに対応するキャッシュされたOCSP応答が次の数より多ければ、OCSPよりもCRLを優先する(推奨しません)(推奨設定:50)
 CryptnetCachedOcspSwitchToCrlCount
 0:有効
 50(推奨値):無効のとき閾値
CRLおよびOCSP応答をその有効期間より長い時間有効にすることを許可する(推奨しません)
 0:無効
 12(初期値):有効時の延長可能時間

ということで、今回はメールフォームよりお問い合わせいただきましたので、調査後記載させていただきました。

ではでは。

タイトルとURLをコピーしました