什么是吊銷證書及吊銷列表CRL？
為幫助您維護組織公鑰基礎機構 (PKI) 的完整性，如果證書的受領人離開組織，或者證書受領人的私鑰已泄露，或者如果其他一些與安全相關的事件規定它不再需要將證書視為“有效”，則 CA 的管理員必須吊銷證書。當證書被 CA 吊銷時，它將添加到該 CA 的證書吊銷列表 (CRL) 中。可采取新的 CRL 或增量 CRL 的形式進行該操作，增量 CRL 是一個小的 CRL，列出自上一個完整的 CRL 以來吊銷的證書。

證書吊銷列表 (CRL) 的發布周期？

證書服務的其中一項功能是：在 CA 管理員指定了時間間隔后，每個 CA 都自動發布更新的 CRL。該時間間隔稱做 CRL“發布期”。在初次安裝 CA 之后，CRL 發布期被設置為一周（根據本地計算機時間，從 CA 首次安裝的日期開始計算）。有關更改證書頒發機構的 CRL 發布間隔的過程，

CRL 和增量 CRL 發布期可獨立安排.
?

?

CA 管理員應了解 CRL 發布期和 CRL 有效期之間的區別。CRL 的有效期是證書驗證者將 CRL 視為權威的時間段。只要證書驗證者在其本地緩存中具有有效的 CRL，它就不會嘗試從發布它的 CA 檢索另一個 CRL。

CRL 的發布期由 CA 管理員建立。但是，CRL 的有效期是從發布期延伸而來的，期間允許進行 Active Directory 復制。在默認情況下，證書服務將發布期延長 10%（最多可加上 12 個小時）以建立有效期。因此，如果 CA 每 24 小時發布 CRL，那么有效期設置為 26.4 小時。

此外，還存在時鐘偏差（在發布期的開始和結束時間額外增加 10 分鐘）。因此考慮到計算機時鐘設置中的偏差，CRL 將在其發布期開始前 10 分鐘有效。

管理員還可使用注冊表項來控制發布期和有效期之間的差異，以便更慢的目錄復制也能順利進行。

證書列表位置：

?

手動發布證書吊銷列表

使用 Windows 界面

以證書頒發機構管理員的身份登錄系統。

打開“證書頒發機構”。

在控制臺樹中，單擊“吊銷的證書”。?
位置

• 證書頒發機構（計算機）/CA 名稱/吊銷的證書
  ?

在“操作”菜單上，指向“所有任務”，然后單擊“發布”。

選擇“新的 CRL”，覆蓋以前發布的證書吊銷列表 (CRL)，或選擇“僅增量 CRL”來發布當前增量 CRL。

即使發布了新的 CRL，擁有以前發布的 CRL 或增量 CRL 的緩存副本的客戶端也將繼續使用它，直到有效期期滿為止。手動發布 CRL 并不影響仍處于有效期的 CRL 的緩存副本，它只為沒有有效 CRL 的系統生成新的 CRL。?

• 默認情況下，在安裝 CA 的服務器上將在下列位置發布 CRL 和增量 CRL：
  
  Systemroot\system32\CertSrv\CertEnroll\
  ?
• 如果 Active Directory 目錄服務可用，它們也發布到 Active Directory。
  ?

使用命令行

打開“命令提示符”。
?

鍵入：?certutil?-crl

本文轉自?

?

zhxhua

?51CTO博客，原文鏈接：http://blog.51cto.com/virtualtop/350077?，如需轉載請自行聯系原作者

?

總結

以上是生活随笔為你收集整理的手动发布证书吊销列表的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。