これは私の状況です:
現在、Sun の iPlanet でホストされている証明書ストアを、Microsoft の Lightweight Directory Services (新しいバージョンの ADAM with Server 2008) に置き換える作業を進めています。
これらの証明書は、LDS のアプリケーション パーティション (o=myorg、C=AU など) にインポートされています。この構造の下に、約 40,000 の OU があり、各顧客 OU の下の顧客を表す各 OU は、1 つ以上のユーザー (iNetOrg) オブジェクト (全部で約 60,000) です。各ユーザーには、UserCertificate 属性に 1 つ以上の証明書があります。
社内で作成されたアプリケーション コードと独自の PKI コードの組み合わせが、これらの証明書を読み取って公開し、金融取引を検証します。
証明書の LDAP パスは顧客証明書内 (およびアプリケーション コード内) に格納されており、コードを変更する必要がないため、iPlanet ディレクトリ全体を取得して LDS にダンプする必要がありました。同じ構造。
(Microsoft CA を使用またはホストするつもりはありません。これらの証明書をホストするために LDAP 準拠のディレクトリを実装するだけです)
LDS のデータを使用してアプリケーションを完全にテストしましたが、すべて正常に動作します。
取り消された、または有効期限が切れた証明書を削除するためのプロセスが導入されていなかったため、データの大部分は完全に役に立たず、システムは約 8 年間稼働しています。簡単な分析を行ったところ、データの少なくとも 80% はもはや有効ではないと見積もっています。
私はディレクトリを管理する責任を負っているので、クリーンなディレクトリから始めたいと思います。これらの期限切れの証明書をクリーンアップする方法を知っている人はいますか? 私は経験豊富なスクリプターではありませんが、VB のバックグラウンドがあります。私はCAPICOMの使用を研究しており、これが使用できる可能性があると感じていますが、正確にはどのように使用できるかわかりません??
有効期限 (2010 年より前に有効期限が切れた証明書など) を指定して、LDS パーティションに対して実行できるスクリプトを作成することをお勧めします。このようにして、スクリプトを定期的に再利用してディレクトリをクリーンアップできます(上記のように、証明書を作成しているアプリケーションを調整する方法はありません。これはサードパーティによるものです)。
もう 1 つのあまり魅力的ではない代替手段は、LDIF ファイル (270 万行!) をマッサージして、インポートの前に証明書を取り除くことです。
どんな助けやアドバイスも大歓迎です。
乾杯
ジョン