手动发布证书吊销列表

简介:

什么是吊销证书及吊销列表CRL?
为帮助您维护组织公钥基础机构 (PKI) 的完整性,如果证书的受领人离开组织,或者证书受领人的私钥已泄露,或者如果其他一些与安全相关的事件规定它不再需要将证书视为“有效”,则 CA 的管理员必须吊销证书。当证书被 CA 吊销时,它将添加到该 CA 的证书吊销列表 (CRL) 中。可采取新的 CRL 或增量 CRL 的形式进行该操作,增量 CRL 是一个小的 CRL,列出自上一个完整的 CRL 以来吊销的证书。

证书吊销列表 (CRL) 的发布周期?

证书服务的其中一项功能是:在 CA 管理员指定了时间间隔后,每个 CA 都自动发布更新的 CRL。该时间间隔称做 CRL“发布期”。在初次安装 CA 之后,CRL 发布期被设置为一周(根据本地计算机时间,从 CA 首次安装的日期开始计算)。有关更改证书颁发机构的 CRL 发布间隔的过程,

CRL 和增量 CRL 发布期可独立安排.
 

 

CA 管理员应了解 CRL 发布期和 CRL 有效期之间的区别。CRL 的有效期是证书验证者将 CRL 视为权威的时间段。只要证书验证者在其本地缓存中具有有效的 CRL,它就不会尝试从发布它的 CA 检索另一个 CRL。

CRL 的发布期由 CA 管理员建立。但是,CRL 的有效期是从发布期延伸而来的,期间允许进行 Active Directory 复制。在默认情况下,证书服务将发布期延长 10%(最多可加上 12 个小时)以建立有效期。因此,如果 CA 每 24 小时发布 CRL,那么有效期设置为 26.4 小时。

此外,还存在时钟偏差(在发布期的开始和结束时间额外增加 10 分钟)。因此考虑到计算机时钟设置中的偏差,CRL 将在其发布期开始前 10 分钟有效。

管理员还可使用注册表项来控制发布期和有效期之间的差异,以便更慢的目录复制也能顺利进行。

证书列表位置:

 

手动发布证书吊销列表

使用 Windows 界面

  1. 以证书颁发机构管理员的身份登录系统。
  2. 打开“证书颁发机构”。
  3. 在控制台树中,单击“吊销的证书”。 
    位置
    • 证书颁发机构(计算机)/CA 名称/吊销的证书
       

  4. 在“操作”菜单上,指向“所有任务”,然后单击“发布”。
  5. 选择“新的 CRL”,覆盖以前发布的证书吊销列表 (CRL),或选择“仅增量 CRL”来发布当前增量 CRL。


    即使发布了新的 CRL,拥有以前发布的 CRL 或增量 CRL 的缓存副本的客户端也将继续使用它,直到有效期期满为止。手动发布 CRL 并不影响仍处于有效期的 CRL 的缓存副本,它只为没有有效 CRL 的系统生成新的 CRL。 

  • 默认情况下,在安装 CA 的服务器上将在下列位置发布 CRL 和增量 CRL:

    Systemroot\system32\CertSrv\CertEnroll\
     
  • 如果 Active Directory 目录服务可用,它们也发布到 Active Directory。
     

使用命令行

  1. 打开“命令提示符”。
     
  2. 键入: certutil -crl


  3. 本文转自 

     
zhxhua

 51CTO博客,原文链接:http://blog.51cto.com/virtualtop/350077 ,如需转载请自行联系原作者

 

相关文章
|
Web App开发 存储 安全
|
1月前
|
存储 弹性计算 运维
给多个用户颁发证书
【4月更文挑战第30天】
10 1
|
1月前
|
开发者 iOS开发
苹果证书p12和描述文件的创建方法
新建证书完成后另存文件保存下来,证书就已经制作好了,点击另存到想要保存的位置就好了。 如果出现如下错误,是因为已经制作了两个发布类型的证书了,不能再制作了。
|
8月前
|
存储 iOS开发
iOS开发证书发布证书,推送证书,描述文件的生成总集(一)​
iOS开发证书发布证书,推送证书,描述文件的生成总集(一)​
|
安全 网络安全 数据安全/隐私保护
|
存储 iOS开发
iOS开发证书发布证书,推送证书,描述文件的生成总集(一)
1.进入(Launchpad),找到 (我的是在其他里面找到的),运行后再左上角 2.存储在桌面就好了,然后就完成退出钥匙串工具就可以了。
|
网络安全
更新 LetsEncrypt 证书
更新 LetsEncrypt 证书
191 0
|
Web App开发 安全 网络协议
SSL证书相关技巧 -- 如何访问一个网站,其证书不在系统证书列表中
SSL证书相关技巧 -- 如何访问一个网站,其证书不在系统证书列表中 推荐一个免费的阿里云产品:云盾证书(https证书) 为了能让非专业人士看懂,同样尽量用直白的话,一般来说:当你个人需要建立网站,或者公司要建立官网、商城,通常需要先购买服务器或云主机,虚拟空间,然后将网页和程序、数据库部署上去,用户就可以用浏览器访问了,比如说浏览页面的内容、登录、发表评论、购物等。
1890 0
|
Web App开发 安全
安装myeclipse后,打开时弹出:“该站点安全证书的吊销证书不可用”,怎样解决?
安装myeclipse后,打开时弹出:“该站点安全证书的吊销证书不可用”,怎样解决? 1、当弹出“该站点安全证书的吊销信息不可用。是否继续?”的对话框时,点击“查看证书”,切换到“详细信息”TAB页,找到其“CRL分发点”的URL,复制下来,用迅雷等下载工具或找一台可以正常访问该URL的机器将该文件下载后并复制过来。
1594 0

热门文章

最新文章