手动发布证书吊销列表
2010-07-15 15:02
363 查看
什么是吊销证书及吊销列表CRL?
为帮助您维护组织公钥基础机构 (PKI) 的完整性,如果证书的受领人离开组织,或者证书受领人的私钥已泄露,或者如果其他一些与安全相关的事件规定它不再需要将证书视为“有效”,则 CA 的管理员必须吊销证书。当证书被 CA 吊销时,它将添加到该 CA 的证书吊销列表 (CRL) 中。可采取新的 CRL 或增量 CRL 的形式进行该操作,增量 CRL 是一个小的 CRL,列出自上一个完整的 CRL 以来吊销的证书。
证书吊销列表 (CRL) 的发布周期?
证书服务的其中一项功能是:在 CA 管理员指定了时间间隔后,每个 CA 都自动发布更新的 CRL。该时间间隔称做 CRL“发布期”。在初次安装 CA 之后,CRL 发布期被设置为一周(根据本地计算机时间,从 CA 首次安装的日期开始计算)。有关更改证书颁发机构的 CRL 发布间隔的过程,
CRL 和增量 CRL 发布期可独立安排.
CA 管理员应了解 CRL 发布期和 CRL 有效期之间的区别。CRL 的有效期是证书验证者将 CRL 视为权威的时间段。只要证书验证者在其本地缓存中具有有效的 CRL,它就不会尝试从发布它的 CA 检索另一个 CRL。
CRL 的发布期由 CA 管理员建立。但是,CRL 的有效期是从发布期延伸而来的,期间允许进行 Active Directory 复制。在默认情况下,证书服务将发布期延长 10%(最多可加上 12 个小时)以建立有效期。因此,如果 CA 每 24 小时发布 CRL,那么有效期设置为 26.4 小时。
此外,还存在时钟偏差(在发布期的开始和结束时间额外增加 10 分钟)。因此考虑到计算机时钟设置中的偏差,CRL 将在其发布期开始前 10 分钟有效。
管理员还可使用注册表项来控制发布期和有效期之间的差异,以便更慢的目录复制也能顺利进行。
证书列表位置:
手动发布证书吊销列表
使用 Windows 界面
以证书颁发机构管理员的身份登录系统。
打开“证书颁发机构”。
在控制台树中,单击“吊销的证书”。
位置
证书颁发机构(计算机)/CA 名称/吊销的证书
在“操作”菜单上,指向“所有任务”,然后单击“发布”。
选择“新的 CRL”,覆盖以前发布的证书吊销列表 (CRL),或选择“仅增量 CRL”来发布当前增量 CRL。
即使发布了新的 CRL,拥有以前发布的 CRL 或增量 CRL 的缓存副本的客户端也将继续使用它,直到有效期期满为止。手动发布 CRL 并不影响仍处于有效期的 CRL 的缓存副本,它只为没有有效 CRL 的系统生成新的 CRL。
默认情况下,在安装 CA 的服务器上将在下列位置发布 CRL 和增量 CRL:
Systemroot\system32\CertSrv\CertEnroll\
如果 Active Directory 目录服务可用,它们也发布到 Active Directory。
键入: certutil -crl
为帮助您维护组织公钥基础机构 (PKI) 的完整性,如果证书的受领人离开组织,或者证书受领人的私钥已泄露,或者如果其他一些与安全相关的事件规定它不再需要将证书视为“有效”,则 CA 的管理员必须吊销证书。当证书被 CA 吊销时,它将添加到该 CA 的证书吊销列表 (CRL) 中。可采取新的 CRL 或增量 CRL 的形式进行该操作,增量 CRL 是一个小的 CRL,列出自上一个完整的 CRL 以来吊销的证书。
证书吊销列表 (CRL) 的发布周期?
证书服务的其中一项功能是:在 CA 管理员指定了时间间隔后,每个 CA 都自动发布更新的 CRL。该时间间隔称做 CRL“发布期”。在初次安装 CA 之后,CRL 发布期被设置为一周(根据本地计算机时间,从 CA 首次安装的日期开始计算)。有关更改证书颁发机构的 CRL 发布间隔的过程,
CRL 和增量 CRL 发布期可独立安排.
CA 管理员应了解 CRL 发布期和 CRL 有效期之间的区别。CRL 的有效期是证书验证者将 CRL 视为权威的时间段。只要证书验证者在其本地缓存中具有有效的 CRL,它就不会尝试从发布它的 CA 检索另一个 CRL。
CRL 的发布期由 CA 管理员建立。但是,CRL 的有效期是从发布期延伸而来的,期间允许进行 Active Directory 复制。在默认情况下,证书服务将发布期延长 10%(最多可加上 12 个小时)以建立有效期。因此,如果 CA 每 24 小时发布 CRL,那么有效期设置为 26.4 小时。
此外,还存在时钟偏差(在发布期的开始和结束时间额外增加 10 分钟)。因此考虑到计算机时钟设置中的偏差,CRL 将在其发布期开始前 10 分钟有效。
管理员还可使用注册表项来控制发布期和有效期之间的差异,以便更慢的目录复制也能顺利进行。
证书列表位置:
手动发布证书吊销列表
使用 Windows 界面
以证书颁发机构管理员的身份登录系统。
打开“证书颁发机构”。
在控制台树中,单击“吊销的证书”。
位置
证书颁发机构(计算机)/CA 名称/吊销的证书
在“操作”菜单上,指向“所有任务”,然后单击“发布”。
选择“新的 CRL”,覆盖以前发布的证书吊销列表 (CRL),或选择“仅增量 CRL”来发布当前增量 CRL。
即使发布了新的 CRL,拥有以前发布的 CRL 或增量 CRL 的缓存副本的客户端也将继续使用它,直到有效期期满为止。手动发布 CRL 并不影响仍处于有效期的 CRL 的缓存副本,它只为没有有效 CRL 的系统生成新的 CRL。
默认情况下,在安装 CA 的服务器上将在下列位置发布 CRL 和增量 CRL:
Systemroot\system32\CertSrv\CertEnroll\
如果 Active Directory 目录服务可用,它们也发布到 Active Directory。
使用命令行
打开“命令提示符”。键入: certutil -crl
相关文章推荐
- openssl生成证书及吊销列表
- 微软发布安全公告2798897,更新证书信任列表
- 何为证书吊销列表CRL?
- iOS distribution发布证书过期或者被手动revoke了app会被下架吗?
- Windows AD证书服务系列---证书发布与吊销(1)
- openssl生成证书链多级证书、证书吊销列表(CRL)
- Windows AD证书服务系列---证书发布与吊销(2)
- 证书吊销列表 (CRL),并在 IIS 5.0 经常要求的问题
- Windows AD证书服务系列---证书发布与吊销(3)
- Windows AD证书服务系列---证书发布与吊销(4)
- 证书介绍及openssl生成证书和吊销列表
- 何为证书吊销列表CRL?| IE吊销证书查看与操作
- PNA外网访问证书吊销列表问题
- Win7用户要格外当心 微软12更新包含一枚数字证书信任列表补丁
- iOS 企业证书发布app 流程
- 安装myeclipse后,打开时弹出:“该站点安全证书的吊销证书不可用”,怎样解决?
- iOS 企业证书发布app 流程
- 创建只能显示自己发布的信息的列表视图
- iOS开发者申请发布证书-图文详解