手动发布证书吊销列表
什么是吊銷證書(shū)及吊銷列表CRL?
為幫助您維護(hù)組織公鑰基礎(chǔ)機(jī)構(gòu) (PKI) 的完整性,如果證書(shū)的受領(lǐng)人離開(kāi)組織,或者證書(shū)受領(lǐng)人的私鑰已泄露,或者如果其他一些與安全相關(guān)的事件規(guī)定它不再需要將證書(shū)視為“有效”,則 CA 的管理員必須吊銷證書(shū)。當(dāng)證書(shū)被 CA 吊銷時(shí),它將添加到該 CA 的證書(shū)吊銷列表 (CRL) 中。可采取新的 CRL 或增量 CRL 的形式進(jìn)行該操作,增量 CRL 是一個(gè)小的 CRL,列出自上一個(gè)完整的 CRL 以來(lái)吊銷的證書(shū)。
證書(shū)吊銷列表 (CRL) 的發(fā)布周期?
證書(shū)服務(wù)的其中一項(xiàng)功能是:在 CA 管理員指定了時(shí)間間隔后,每個(gè) CA 都自動(dòng)發(fā)布更新的 CRL。該時(shí)間間隔稱做 CRL“發(fā)布期”。在初次安裝 CA 之后,CRL 發(fā)布期被設(shè)置為一周(根據(jù)本地計(jì)算機(jī)時(shí)間,從 CA 首次安裝的日期開(kāi)始計(jì)算)。有關(guān)更改證書(shū)頒發(fā)機(jī)構(gòu)的 CRL 發(fā)布間隔的過(guò)程,
CRL 和增量 CRL 發(fā)布期可獨(dú)立安排.
?
?
CA 管理員應(yīng)了解 CRL 發(fā)布期和 CRL 有效期之間的區(qū)別。CRL 的有效期是證書(shū)驗(yàn)證者將 CRL 視為權(quán)威的時(shí)間段。只要證書(shū)驗(yàn)證者在其本地緩存中具有有效的 CRL,它就不會(huì)嘗試從發(fā)布它的 CA 檢索另一個(gè) CRL。
CRL 的發(fā)布期由 CA 管理員建立。但是,CRL 的有效期是從發(fā)布期延伸而來(lái)的,期間允許進(jìn)行 Active Directory 復(fù)制。在默認(rèn)情況下,證書(shū)服務(wù)將發(fā)布期延長(zhǎng) 10%(最多可加上 12 個(gè)小時(shí))以建立有效期。因此,如果 CA 每 24 小時(shí)發(fā)布 CRL,那么有效期設(shè)置為 26.4 小時(shí)。
此外,還存在時(shí)鐘偏差(在發(fā)布期的開(kāi)始和結(jié)束時(shí)間額外增加 10 分鐘)。因此考慮到計(jì)算機(jī)時(shí)鐘設(shè)置中的偏差,CRL 將在其發(fā)布期開(kāi)始前 10 分鐘有效。
管理員還可使用注冊(cè)表項(xiàng)來(lái)控制發(fā)布期和有效期之間的差異,以便更慢的目錄復(fù)制也能順利進(jìn)行。
證書(shū)列表位置:
?
手動(dòng)發(fā)布證書(shū)吊銷列表使用 Windows 界面
位置
- 證書(shū)頒發(fā)機(jī)構(gòu)(計(jì)算機(jī))/CA 名稱/吊銷的證書(shū)
?
即使發(fā)布了新的 CRL,擁有以前發(fā)布的 CRL 或增量 CRL 的緩存副本的客戶端也將繼續(xù)使用它,直到有效期期滿為止。手動(dòng)發(fā)布 CRL 并不影響仍處于有效期的 CRL 的緩存副本,它只為沒(méi)有有效 CRL 的系統(tǒng)生成新的 CRL。?
- 默認(rèn)情況下,在安裝 CA 的服務(wù)器上將在下列位置發(fā)布 CRL 和增量 CRL:
Systemroot\system32\CertSrv\CertEnroll\
? - 如果 Active Directory 目錄服務(wù)可用,它們也發(fā)布到 Active Directory。
?
使用命令行
?
本文轉(zhuǎn)自?
??51CTO博客,原文鏈接:http://blog.51cto.com/virtualtop/350077?,如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者
?
總結(jié)
以上是生活随笔為你收集整理的手动发布证书吊销列表的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 组策略 之 恢复默认组策略对
- 下一篇: mysql 5.6 利用gtid 同步数