与证书相关的数据(如受信任的根证书、交叉证书和证书吊销列表 (CRL))必须及时更新才能有效。管理员使用网络检索和路径验证设置可以进行以下操作:
-
自动更新 Microsoft 根证书程序中的证书。
-
配置 CRL 和路径验证的检索超时值(如果网络条件欠佳,则最好使用较大的默认值)。
-
在路径验证过程中启用颁发者证书检索。
-
定义下载交叉证书的频率。
本主题包括执行以下任务的过程:
管理 CRL 检索
及时获取证书吊销数据是安全使用证书的重要因素。但是,如果因传输的数据多于原先的预期而导致检查和检索证书吊销数据和交叉证书超时,则会出现问题。
管理员使用公钥组策略中的网络检索选项可以管理网络检索超时值。
增加本地计算机的较大 CRL 的检索超时选项
管理员是完成此过程所需的最低组成员身份。
增加本地计算机的较大 CRL 的检索超时选项的步骤 |
单击「开始」,在“搜索程序和文件”框中键入 gpedit.msc,然后按 Enter。
在控制台树中的“本地计算机策略\计算机配置\Windows 设置\安全设置”下,单击“公钥策略”。
双击“证书路径验证设置”,然后单击“网络检索”选项卡。
选中“定义这些策略设置”复选框。
在“默认检索超时设置”下的“默认 URL 检索超时(以秒为单位)”框中输入超时值,然后单击“确定”应用新设置。
增加域的较大 CRL 的检索超时选项
Domain Admins 是完成此过程所需的最低组成员身份。
增加域的较大 CRL 的检索超时选项的步骤 |
单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
在“功能摘要”下,单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”。
“安装结果”页显示已成功安装组策略管理控制台 (GPMC) 后,单击“关闭”。
单击「开始」,指向“管理工具”,然后单击“组策略管理”。
在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在控制台树中“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”。
双击“证书路径验证设置”,然后单击“网络检索”选项卡。
选中“定义这些策略设置”复选框。
在“默认检索超时设置”下的“默认 URL 检索超时(以秒为单位)”框中输入超时值,然后单击“确定”应用新设置。
其他参考