什么是吊销证书及吊销列表CRL?
为帮助您维护组织公钥基础机构 (PKI) 的完整性,如果证书的受领人离开组织,或者证书受领人的私钥已泄露,或者如果其他一些与安全相关的事件规定它不再需要将证书视为“有效”,则 CA 的管理员必须吊销证书。当证书被 CA 吊销时,它将添加到该 CA 的证书吊销列表 (CRL) 中。可采取新的 CRL 或增量 CRL 的形式进行该操作,增量 CRL 是一个小的 CRL,列出自上一个完整的 CRL 以来吊销的证书。

证书吊销列表 (CRL) 的发布周期?

证书服务的其中一项功能是:在 CA 管理员指定了时间间隔后,每个 CA 都自动发布更新的 CRL。该时间间隔称做 CRL“发布期”。在初次安装 CA 之后,CRL 发布期被设置为一周(根据本地计算机时间,从 CA 首次安装的日期开始计算)。有关更改证书颁发机构的 CRL 发布间隔的过程,

CRL 和增量 CRL 发布期可独立安排.
 

 

CA 管理员应了解 CRL 发布期和 CRL 有效期之间的区别。CRL 的有效期是证书验证者将 CRL 视为权威的时间段。只要证书验证者在其本地缓存中具有有效的 CRL,它就不会尝试从发布它的 CA 检索另一个 CRL。

CRL 的发布期由 CA 管理员建立。但是,CRL 的有效期是从发布期延伸而来的,期间允许进行 Active Directory 复制。在默认情况下,证书服务将发布期延长 10%(最多可加上 12 个小时)以建立有效期。因此,如果 CA 每 24 小时发布 CRL,那么有效期设置为 26.4 小时。

此外,还存在时钟偏差(在发布期的开始和结束时间额外增加 10 分钟)。因此考虑到计算机时钟设置中的偏差,CRL 将在其发布期开始前 10 分钟有效。

管理员还可使用注册表项来控制发布期和有效期之间的差异,以便更慢的目录复制也能顺利进行。

证书列表位置:

 

手动发布证书吊销列表

使用 Windows 界面

  1. 以证书颁发机构管理员的身份登录系统。
  2. 打开“证书颁发机构”。
  3. 在控制台树中,单击“吊销的证书”。
    位置
    • 证书颁发机构(计算机)/CA 名称/吊销的证书
       

  4. 在“操作”菜单上,指向“所有任务”,然后单击“发布”。
  5. 选择“新的 CRL”,覆盖以前发布的证书吊销列表 (CRL),或选择“仅增量 CRL”来发布当前增量 CRL。


    即使发布了新的 CRL,拥有以前发布的 CRL 或增量 CRL 的缓存副本的客户端也将继续使用它,直到有效期期满为止。手动发布 CRL 并不影响仍处于有效期的 CRL 的缓存副本,它只为没有有效 CRL 的系统生成新的 CRL。 

  • 默认情况下,在安装 CA 的服务器上将在下列位置发布 CRL 和增量 CRL:

    Systemroot\system32\CertSrv\CertEnroll\
     
  • 如果 Active Directory 目录服务可用,它们也发布到 Active Directory。
     

使用命令行

  1. 打开“命令提示符”。
     
  2. 键入: certutil -crl