Сценарии массовой выдачи сертификатов, например, при развертывании защиты доступа к сети (NAP) с протоколом IPsec, накладывают на инфраструктуру открытого ключа (PKI) особые требования. На этот случай в Windows Server 2008 R2 были представлены следующие параметры, которые можно использовать для настройки шаблонов сертификатов, используемых массовыми ЦС. Эти параметры доступны на вкладке Сервер страницы свойств шаблона сертификата.

Не сохранять запросы и сертификаты в базе данных центра сертификации

Как правило, срок действия сертификатов, выдаваемых в сценариях массовой выдачи сертификатов, истекает через несколько часов после выдачи. При этом выдающий ЦС обрабатывает большое число запросов сертификатов. По умолчанию в базе данных ЦС хранятся записи о каждом запросе и выданном сертификате. Увеличение количества запросов приводит к росту объема базы данных ЦС и административным расходам.

Параметр Не сохранять запросы и сертификаты в базе данных центра сертификации позволяет настроить шаблон так, чтобы при обработке запросов сертификатов ЦС не добавлял записи в свою базу данных.

Важно!

Для поддержки запросов сертификатов, у которых этот параметр включен, в ЦС, выдающем сертификаты, необходимо выполнить соответствующие настройки. В ЦС выполните следующую команду: CertUtil.exe -SetReg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS.

Не включать сведения об аннулировании в выдаваемые сертификаты

Отзыв сертификатов несколькими массовыми ЦС нецелесообразен, поскольку срок действия сертификатов, как правило, истекает через несколько часов после выдачи.

Параметр Не включать сведения об аннулировании в выдаваемые сертификаты настраивает шаблон так, что ЦС исключает сведения об отзыве из выданных сертификатов. Это предотвращает проверку состояния отзыва во время проверки сертификата и позволяет сократить время проверки.

Примечание

Этот параметр рекомендуется использовать вместе с параметром Не сохранять запросы и сертификаты в базе данных центра сертификации.

Дополнительные ссылки


Содержание