לשם היעילות, יש לעדכן בזמן המתאים נתונים הקשורים לאישורים כגון אישורי בסיס מהימנים, אישורים צולבים ורשימות ביטול אישורים (CRL). הגדרות של אחזור רשת ואימות נתיב מאפשרות למנהלים לבצע את הפעולות הבאות:

  • עדכון אוטומטי של אישורים בתוכנית אישורי הבסיס של Microsoft.

  • קביעת תצורה של ערכי זמן קצוב לאחזור עבור רשימות CRL ואימות נתיב (ייתכן שיהיה צורך בערכי ברירת מחדל גדולים יותר אם תנאי הרשת אינם מיטביים).

  • הפיכת אחזור של אישור מנפיק לזמין במהלך אימות נתיב.

  • הגדרת תדירות ההורדה של אישורים צולבים.

נושא זה כולל הליכים עבור המשימות הבאות:

ניהול אחזור של CRL

קבלת נתונים של ביטולי אישורים בזמן המתאים מהווה רכיב חשוב בשימוש מאובטח באישורים. עם זאת, בעיות יכולות לקרות אם תם הזמן הקצוב לבדיקת אימות ולאחזור נתונים של ביטול תוקף אישורים ואישורים צולבים, כיוון שמועברים יותר נתונים מהכמות הצפויה במקור.

אפשרויות אחזור רשת ב'מדיניות קבוצתית' של מפתח ציבורי מאפשרות למנהלים לנהל ערכי זמן קצוב של אחזור רשת.

הגדלת אפשרות הזמן הקצוב לאחזור עבור רשימות CRL גדולות במחשב מקומי

Administrators הוא החברות בקבוצה המזערית הדרושה כדי להשלים הליך זה.

כדי להגדיל את אפשרות הזמן הקצוב לאחזור עבור רשימות CRL גדולות במחשב מקומי
  1. לחץ על התחל, הקלד gpedit.msc בתיבה חפש בתוכניות ובקבצים ולאחר מכן הקש ENTER.

  2. בעץ המסוף תחת מדיניות מחשב מקומי/תצורת מחשב/הגדרות Windows/הגדרות אבטחה, לחץ על מדיניות מפתח ציבורי.

  3. לחץ פעמיים על Certificate Path Validation Settings ולאחר מכן לחץ על הכרטיסיה Network Retrieval.

  4. בחר בתיבת הסימון Define these policy settings.

  5. תחת הגדרות ברירת מחדל של זמן קצוב לאחזור, הזן ערך של זמן קצוב בתיבה זמן קצוב לאחזור של כתובת URL המהווה ברירת מחדל (בשניות) ולאחר מכן לחץ על אישור כדי להחיל את ההגדרות החדשות.

הגדלת אפשרות הזמן הקצוב לאחזור עבור רשימות CRL גדולות בתחום

חברות בקבוצה Domain Admins היא הרמה המינימלית הדרושה להשלמת הליך זה.

כדי להגדיל את אפשרות הזמן הקצוב לאחזור עבור רשימות CRL גדולות בתחום
  1. לחץ על התחל, הצבע על כלי ניהול ולחץ על Server Manager.

  2. תחת Features Summary, לחץ על Add Features. בחר בתיבת הסימון Group Policy Management, לחץ על Next ולאחר מכן לחץ על Install.

  3. לאחר שהדף Installation Results מראה שההתקנה של מסוף ניהול המדיניות הקבוצתית (GPMC) הצליחה, לחץ על Close.

  4. לחץ על Start, הצבע על Administrative Tools ולאחר מכן לחץ על Group Policy Management.

  5. בעץ המסוף, לחץ פעמיים על Group Policy Objects ביער ובתחום המכילים את אובייקט המדיניות הקבוצתית (GPO) של Default Domain Policy שברצונך לערוך.

  6. לחץ באמצעות לחצן העכבר הימני על ה- GPO של Default Domain Policy ולאחר מכן לחץ על Edit.

  7. בעץ המסוף תחת תצורת מחשב/הגדרות Windows/הגדרות אבטחה, לחץ על מדיניות מפתח ציבורי.

  8. לחץ פעמיים על הגדרות של אימות נתיב אישור ולאחר מכן לחץ על הכרטיסיה אחזור ברשת.

  9. בחר בתיבת הסימון קבע הגדרות מדיניות אלה.

  10. תחת הגדרות ברירת מחדל של זמן קצוב לאחזור, הזן ערך של זמן קצוב בתיבה זמן קצוב לאחזור של כתובת URL המהווה ברירת מחדל (בשניות) ולאחר מכן לחץ על אישור כדי להחיל את ההגדרות החדשות.

הפניות נוספות


תוכן העניינים