Η ανάκληση ενός πιστοποιητικού ακυρώνει την ισχύ του ως αξιόπιστου διαπιστευτηρίου ασφαλείας πριν την προγραμματισμένη λήξη της περιόδου εγκυρότητάς του. Η υποδομή δημόσιου κλειδιού (ΡΚΙ) εξαρτάται από την κατανεμημένη επαλήθευση των διαπιστευτηρίων, στα οποία δεν υπάρχει ανάγκη άμεσης επικοινωνίας με την κεντρική αξιόπιστη οντότητα, η οποία επιβεβαιώνει τα διαπιστευτήρια.

Για την αποτελεσματική υποστήριξη της ανάκλησης πιστοποιητικού, ο υπολογιστής-πελάτης πρέπει να καθορίσει, εάν το πιστοποιητικό είναι έγκυρο ή έχει ανακληθεί. Για την υποστήριξη μιας ποικιλίες σεναρίων, οι υπηρεσίες πιστοποιητικών της υπηρεσίας καταλόγου Active Directory υποστηρίζουν μεθόδους βιομηχανικών προτύπων ανάκλησης πιστοποιητικών. Αυτές οι μέθοδοι περιλαμβάνουν την δημοσίευση των λιστών ανάκλησης πιστοποιητικών (CRL) και των διαφορικών CRL σε διάφορες θέσεις, όπου μπορούν να έχουν πρόσβαση οι υπολογιστές-πελάτες, συμπεριλαμβανομένων των υπηρεσιών τομέα Active Directory, των διακομιστών Web και των κοινόχρηστων αρχείων δικτύου. Στα Windows, τα δεδομένα ανάκλησης διατίθεται επίσης σε διάφορες ρυθμίσεις μέσω αποκρίσεων του πρωτοκόλλου Online Certificate Status Protocol (OCSP).

Σημείωση

Οι CRL δημοσιεύονται περιοδικά σε συγκεκριμένες θέσεις του δικτύου, από όπου μπορούν να τις λάβουν οι υπολογιστές-πελάτες. Οι αποκρίσεις OCSP είναι αποκρίσεις με ψηφιακή υπογραφή, οι οποίες υποδεικνύουν εάν ένα μεμονωμένο πιστοποιητικό έχει ανακληθεί ή ανασταλεί ή εάν η κατάστασή του είναι άγνωστη. Οι αποκρίσεις OCSP λαμβάνουν τα δεδομένα τους από δημοσιευμένες CRL ή ενημερώνονται απευθείας από τη βάση δεδομένων κατάστασης πιστοποιητικών μιας αρχής έκδοσης πιστοποιητικών (CA).

Επιπλέον, η Πολιτική ομάδας δημόσιου κλειδιού επιτρέπει στους διαχειριστές να ενισχύουν τη χρήση των CRL και των αποκρίσεων OCSP, ιδιαίτερα σε καταστάσεις, όπου μειώνονται οι επιδόσεις πολύ μεγάλων CRL ή συνθηκών δικτύου.

Αυτό το θέμα περιλαμβάνει διαδικασίες για τις παρακάτω εργασίες:

Ρύθμιση των παραμέτρων ανάκλησης σε έναν τοπικό υπολογιστή

Η ιδιότητα μέλους της ομάδας Administrators είναι η ελάχιστη που απαιτείται για την ολοκλήρωση αυτής της διαδικασίας.

Για να ρυθμίσετε τις παραμέτρους ανάκλησης σε έναν τοπικό υπολογιστή
  1. Κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε gpedit.msc στο πλαίσιο Αναζήτηση προγραμμάτων και αρχείων και μετά πατήστε ENTER.

  2. Στο δέντρο της κονσόλας, στο φάκελο Πολιτική τοπικού υπολογιστή\Ρυθμίσεις παραμέτρων του υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας, επιλέξτε Πολιτικές δημόσιου κλειδιού.

  3. Κάντε διπλό κλικ στην επιλογή Ρυθμίσεις επικύρωσης διαδρομής πιστοποιητικού και, στη συνέχεια, κάντε κλικ στην καρτέλα Ανάκληση.

  4. Επιλέξτε το πλαίσιο ελέγχου Προσδιορισμός των ρυθμίσεων αυτής της πολιτικής, επιλέξτε τις ρυθμίσεις πολιτικής που θέλετε να εφαρμόσετε και έπειτα κάντε κλικ στο κουμπί OK για να εφαρμόσετε τις νέες ρυθμίσεις.

Ρύθμιση των παραμέτρων ανάκλησης για έναν τομέα

Η ιδιότητα μέλους της ομάδας Domain Admins είναι η ελάχιστη που απαιτείται για την ολοκλήρωση αυτής της διαδικασίας.

Για να ρυθμίσετε τις παραμέτρους ανάκλησης για έναν τομέα
  1. Κάντε κλικ στο Έναρξη, επιλέξτε Εργαλεία διαχείρισης και κάντε κλικ στη Διαχείριση διακομιστών.

  2. Στην περιοχή Σύνοψη δυνατοτήτων κάντε κλικ στην επιλογή Προσθήκη δυνατοτήτων. Μην απενεργοποιείτε το πλαίσιο ελέγχου Διαχείριση πολιτικής ομάδας, κάντε κλικ στο κουμπί Επόμενο και, στη συνέχεια, επιλέξτε Εγκατάσταση.

  3. Αφού η σελίδα Αποτελέσματα εγκατάστασης εμφανίσει ότι η εγκατάσταση της Κονσόλας διαχείρισης πολιτικής ομάδας (GPMC) ολοκληρώθηκε με επιτυχία, κάντε κλικ στο κουμπί Κλείσιμο.

  4. Κάντε κλικ στο κουμπί Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Εργαλεία διαχείρισης και έπειτα κάντε κλικ στην επιλογή Διαχείριση πολιτικής ομάδας.

  5. Στο δέντρο κονσόλας, κάντε διπλό κλικ στο στοιχείο Αντικείμενα πολιτικής ομάδας στο δάσος και τον τομέα που περιέχει το αντικείμενο πολιτικής ομάδας (GPO) της προεπιλεγμένης πολιτικής τομέα που θέλετε να επεξεργαστείτε.

  6. Κάντε δεξιό κλικ στο αντικείμενο πολιτικής ομάδας της Προεπιλεγμένης πολιτικής τομέα και, κάντε κλικ στην επιλογή Επεξεργασία.

  7. Στο δέντρο της κονσόλας, στο φάκελο Ρυθμίσεις παραμέτρων του υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας, επιλέξτε Πολιτικές δημόσιου κλειδιού.

  8. Κάντε διπλό κλικ στην επιλογή Ρυθμίσεις επικύρωσης διαδρομής πιστοποιητικού και, στη συνέχεια, κάντε κλικ στην καρτέλα Ανάκληση.

  9. Επιλέξτε το πλαίσιο ελέγχου Προσδιορισμός των ρυθμίσεων αυτής της πολιτικής, επιλέξτε τις ρυθμίσεις πολιτικής που θέλετε να εφαρμόσετε και έπειτα κάντε κλικ στο κουμπί OK για να εφαρμόσετε τις νέες ρυθμίσεις.

Επέκταση της περιόδου εγκυρότητας των αποκρίσεων CRL και OCSP για έναν τοπικό υπολογιστή

Η ιδιότητα μέλους της ομάδας Administrators είναι η ελάχιστη που απαιτείται για την ολοκλήρωση αυτής της διαδικασίας.

Για να επεκτείνετε την περίοδο εγκυρότητας των αποκρίσεων CRL και OCSP για έναν τοπικό υπολογιστή
  1. Κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε gpedit.msc στο πλαίσιο Αναζήτηση προγραμμάτων και αρχείων και μετά πατήστε ENTER.

  2. Στο δέντρο της κονσόλας, στο φάκελο Πολιτική τοπικού υπολογιστή\Ρυθμίσεις παραμέτρων του υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας, επιλέξτε Πολιτικές δημόσιου κλειδιού.

  3. Κάντε διπλό κλικ στην επιλογή Ρυθμίσεις επικύρωσης διαδρομής πιστοποιητικού και, στη συνέχεια, κάντε κλικ στην καρτέλα Ανάκληση.

  4. Επιλέξτε το πλαίσιο ελέγχου Προσδιορισμός των ρυθμίσεων αυτής της πολιτικής, επιλέξτε το πλαίσιο ελέγχου Να επιτρέπεται οι αποκρίσεις CRL και OCSP να είναι έγκυρες για μεγαλύτερο χρονικό διάστημα από τη χρονική τους διάρκεια (δεν προτείνεται).

  5. Στο πλαίσιο Προεπιλεγμένος χρόνος επέκτασης της περιόδου εγκυρότητας εισαγάγετε μια τιμή χρόνου (σε ώρες) και, στη συνέχεια, κάντε κλικ στο κουμπί ΟΚ για να εφαρμόσετε τις νέες ρυθμίσεις.

Επέκταση της περιόδου εγκυρότητας των αποκρίσεων CRL και OCSP για έναν τομέα

Η ιδιότητα μέλους της ομάδας Domain Admins είναι η ελάχιστη που απαιτείται για την ολοκλήρωση αυτής της διαδικασίας.

Για να επεκτείνετε την περίοδο εγκυρότητας των αποκρίσεων CRL και OCSP για έναν τομέα
  1. Κάντε κλικ στο Έναρξη, επιλέξτε Εργαλεία διαχείρισης και κάντε κλικ στη Διαχείριση διακομιστών.

  2. Στην περιοχή Σύνοψη δυνατοτήτων κάντε κλικ στην επιλογή Προσθήκη δυνατοτήτων. Μην απενεργοποιείτε το πλαίσιο ελέγχου Διαχείριση πολιτικής ομάδας, κάντε κλικ στο κουμπί Επόμενο και, στη συνέχεια, επιλέξτε Εγκατάσταση.

  3. Αφού η σελίδα Αποτελέσματα εγκατάστασης εμφανίσει ότι η εγκατάσταση της Κονσόλας διαχείρισης πολιτικής ομάδας (GPMC) ολοκληρώθηκε με επιτυχία, κάντε κλικ στο κουμπί Κλείσιμο.

  4. Κάντε κλικ στο κουμπί Έναρξη, τοποθετήστε το δείκτη του ποντικιού στην επιλογή Εργαλεία διαχείρισης και έπειτα κάντε κλικ στην επιλογή Διαχείριση πολιτικής ομάδας.

  5. Στο δέντρο κονσόλας, κάντε διπλό κλικ στο στοιχείο Αντικείμενα πολιτικής ομάδας στο δάσος και τον τομέα που περιέχει το αντικείμενο πολιτικής ομάδας (GPO) της προεπιλεγμένης πολιτικής τομέα που θέλετε να επεξεργαστείτε.

  6. Κάντε δεξιό κλικ στο αντικείμενο πολιτικής ομάδας της Προεπιλεγμένης πολιτικής τομέα και, κάντε κλικ στην επιλογή Επεξεργασία.

  7. Στο δέντρο της κονσόλας, στο φάκελο Ρυθμίσεις παραμέτρων του υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας, επιλέξτε Πολιτικές δημόσιου κλειδιού.

  8. Κάντε διπλό κλικ στην επιλογή Ρυθμίσεις επικύρωσης διαδρομής πιστοποιητικού και, στη συνέχεια, κάντε κλικ στην καρτέλα Ανάκληση.

  9. Επιλέξτε το πλαίσιο ελέγχου Προσδιορισμός των ρυθμίσεων αυτής της πολιτικής, επιλέξτε το πλαίσιο ελέγχου Να επιτρέπεται οι αποκρίσεις CRL και OCSP να είναι έγκυρες για μεγαλύτερο χρονικό διάστημα από τη χρονική τους διάρκεια (δεν προτείνεται).

  10. Στο πλαίσιο Προεπιλεγμένος χρόνος επέκτασης της περιόδου εγκυρότητας εισαγάγετε μια τιμή χρόνου (σε ώρες) και, στη συνέχεια, κάντε κλικ στο κουμπί ΟΚ για να εφαρμόσετε τις νέες ρυθμίσεις.

Πρόσθετες αναφορές


Πίνακας περιεχομένων