开发者社区> 技术小牛人> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

手动发布证书吊销列表

简介:
+关注继续查看

什么是吊销证书及吊销列表CRL?
为帮助您维护组织公钥基础机构 (PKI) 的完整性,如果证书的受领人离开组织,或者证书受领人的私钥已泄露,或者如果其他一些与安全相关的事件规定它不再需要将证书视为“有效”,则 CA 的管理员必须吊销证书。当证书被 CA 吊销时,它将添加到该 CA 的证书吊销列表 (CRL) 中。可采取新的 CRL 或增量 CRL 的形式进行该操作,增量 CRL 是一个小的 CRL,列出自上一个完整的 CRL 以来吊销的证书。

证书吊销列表 (CRL) 的发布周期?

证书服务的其中一项功能是:在 CA 管理员指定了时间间隔后,每个 CA 都自动发布更新的 CRL。该时间间隔称做 CRL“发布期”。在初次安装 CA 之后,CRL 发布期被设置为一周(根据本地计算机时间,从 CA 首次安装的日期开始计算)。有关更改证书颁发机构的 CRL 发布间隔的过程,

CRL 和增量 CRL 发布期可独立安排.
 

 

CA 管理员应了解 CRL 发布期和 CRL 有效期之间的区别。CRL 的有效期是证书验证者将 CRL 视为权威的时间段。只要证书验证者在其本地缓存中具有有效的 CRL,它就不会尝试从发布它的 CA 检索另一个 CRL。

CRL 的发布期由 CA 管理员建立。但是,CRL 的有效期是从发布期延伸而来的,期间允许进行 Active Directory 复制。在默认情况下,证书服务将发布期延长 10%(最多可加上 12 个小时)以建立有效期。因此,如果 CA 每 24 小时发布 CRL,那么有效期设置为 26.4 小时。

此外,还存在时钟偏差(在发布期的开始和结束时间额外增加 10 分钟)。因此考虑到计算机时钟设置中的偏差,CRL 将在其发布期开始前 10 分钟有效。

管理员还可使用注册表项来控制发布期和有效期之间的差异,以便更慢的目录复制也能顺利进行。

证书列表位置:

 

手动发布证书吊销列表

使用 Windows 界面

  1. 以证书颁发机构管理员的身份登录系统。
  2. 打开“证书颁发机构”。
  3. 在控制台树中,单击“吊销的证书”。 
    位置
    • 证书颁发机构(计算机)/CA 名称/吊销的证书
       

  4. 在“操作”菜单上,指向“所有任务”,然后单击“发布”。
  5. 选择“新的 CRL”,覆盖以前发布的证书吊销列表 (CRL),或选择“仅增量 CRL”来发布当前增量 CRL。


    即使发布了新的 CRL,拥有以前发布的 CRL 或增量 CRL 的缓存副本的客户端也将继续使用它,直到有效期期满为止。手动发布 CRL 并不影响仍处于有效期的 CRL 的缓存副本,它只为没有有效 CRL 的系统生成新的 CRL。 

  • 默认情况下,在安装 CA 的服务器上将在下列位置发布 CRL 和增量 CRL:

    Systemroot\system32\CertSrv\CertEnroll\
     
  • 如果 Active Directory 目录服务可用,它们也发布到 Active Directory。
     

使用命令行

  1. 打开“命令提示符”。
     
  2. 键入: certutil -crl


  3. 本文转自 

     
zhxhua

 51CTO博客,原文链接:http://blog.51cto.com/virtualtop/350077 ,如需转载请自行联系原作者

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【Mysql】表的信息解释(show table status like ‘kaka’ \G)
【Mysql】表的信息解释(show table status like ‘kaka’ \G)
27 0
通过Job Committer保证Mapreduce/Spark任务数据一致性
通过对象存储系统普遍提供的Multipart Upload功能,实现的No-Rename Committer在数据一致性和性能方面相对于FileOutputCommitter V1/V2版本均有较大提升,在使用MapRedcue和Spark写入数据到S3/Oss的场景中更加推荐使用。
1167 0
openssl工具列表
 OpenSSL介绍 OpenSSL是一个安全工具集,同时也提供了开源程序库。它支持ssl(Secure Sockets Layer, v2/v3),TLS(Transport Layer Secure, v1)。
1544 0
带箭头提示框
无论是提示框还是导航栏都能看到如上图所示的带有箭头的框框,这种箭头可以通过背景图片或者是css来实现,本文介绍三种通过css实现带箭头的提示框。 通过border属性思路:两个三角形,通过定位使两个三角形相差1px作为边框。
731 0
5723
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载