使用大批量证书颁发方案(如设置了 Internet 协议安全性 (IPsec) 强制的网络访问保护 (NAP) 部署)时,需要具备唯一公钥基础结构 (PKI)。若要满足这些需求,可使用 Windows Server 2008 R2 中引入的以下选项来配置大批量证书颁发机构 (CA) 使用的证书模板。这些选项位于证书模板属性页的“服务器”选项卡上。

在 CA 数据库中不存储证书和申请

大批量方案中颁发的证书通常会在颁发后的几小时内到期,并且颁发 CA 会处理大批量的证书申请。默认情况下,会将每个申请和已颁发证书的记录存储在 CA 数据库中。大批量的申请会提高 CA 数据库的增长速度和管理成本。

使用“在 CA 数据库中不存储证书和申请”选项配置模板,从而使 CA 在处理证书申请时不会将记录添加到 CA 数据库中。

重要

必须将颁发 CA 配置为支持已启用此选项的证书申请。在颁发 CA 上,运行以下命令:CertUtil.exe –SetReg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

在颁发的证书中不包含吊销信息

吊销某些大批量 CA 颁发的证书并无作用,因为这些证书通常会在颁发后的几小时内到期。

使用“在颁发的证书中不包含吊销信息”选项配置模板,从而使 CA 将吊销信息从已颁发证书中排除。这会阻止在证书验证期间检查吊销状态,从而缩短验证时间。

注意

建议在使用“在 CA 数据库中不存储证书和申请”选项时使用此选项。

其他参考