لا يؤدي إبطال الشهادة إلى إلغاء صلاحية الشهادة وعدم الاعتماد عليها كبيانات اعتماد للأمان موثوق بها وذلك قبل انتهاء فترة صلاحية الشهادة المحدد. وتعتمد البنية الأساسية للمفتاح العام (PKI) على التحقق الموزع لبيانات الاعتماد في حالة عدم الحاجة إلى وجود اتصال مباشر مع الكيان المركزي الموثوق به الذي يثبت بيانات الاعتماد.

لدعم إبطال الشهادات بفاعلية، يجب أن يحدد كمبيوتر العميل ما إذا كانت الشهادة سارية أو تم إبطالها. لدعم العديد من السيناريوهات، تقوم "خدمات الشهادات Active Directory" بدعم أساليب تتبع المقاييس الصناعية لإبطال الشهادة. يتضمن هذا توزيع قوائم إبطال الشهادات (CRLs) ودلتا CRLs في مواقع متعددة للعملاء من أجل إمكانية الوصول، بما في ذلك خدمة مجال Active Directory وخوادم ويب ومشاركات ملفات الشبكة. في Windows، يمكن أيضاً أن تتوفر بيانات الإبطال في العديد من الإعدادات من خلال استجابات "بروتوكول حالة الشهادة على إنترنت" (OCSP) (Online Certificate Status Protocol).

ملاحظة

يتم نشر CRLs إلى مواقع شبكة محددة على أساس دوري حيث يمكن تنزيلها من خلال أجهزة كمبيوتر العميل. تعتبر استجابات OCSP هي استجابات موقعة رقمياً توضح ما إذا كان قد تم إبطال إحدى الشهادات أو إيقافها مرحلياً، أو إذا كانت حالتها مجهولة. يحصل مستجيبوا (OCSP) على المعلومات من قوائم إبطال شهادات (CRLs) منشورة، أو يمكن موافاتهم مباشرة بالتحديثات من قاعدة بيانات حالة الشهادة لمرجع مصدق (CA).

بالإضافة إلى ذلك، يسمح "نهج المجموعة" (Group Policy) الخاص بالمفتاح العام للمسؤولين بتحسين استخدام CRLs واستجابات OCSP، وخاصة في مواقف تنقص فيها CRLs أو شروط الشبكة بشدة من الأداء.

يتضمن هذا الموضوع إجراءات تخص المهام التالية:

تكوين إعدادات الإبطال على كمبيوتر محلي

تعد عضوية Administrators هي الحد الأدنى لعضوية المجموعة المطلوبة لإكمال هذا الإجراء.

تكوين إعدادات الإبطال على كمبيوتر محلي
  1. انقر فوق Start، واكتب gpedit.msc في المربع Search programs and files، ثم اضغط على ENTER.

  2. في شجرة وحدة التحكم ضمن Local Computer Policy\Computer Configuration\Windows Settings\Security Settings، انقر فوق Public Key Policies.

  3. انقر نقراً مزدوجاً فوق Certificate Path Validation Settings، ثم انقر فوق علامة التبويب Revocation.

  4. حدد خانة الاختيار Define these policy settings، وحدد إعدادات النهج التي تريد تطبيقها، ثم انقر فوق OK لتطبيق الإعدادات الجديدة.

تكوين إعدادات الإبطال لمجال

تعد عضوية مجموعة Domain Admins هي الحد الأدنى لعضوية المجموعة المطلوبة لإكمال هذا الإجراء.

تكوين إعدادات الإبطال لمجال
  1. انقر فوق Start، وأشر إلى Administrative Tools، ثم انقر فوق Server Manager.

  2. ضمن Features Summary، انقر فوق Add Features. حدد خانة الاختيار Group Policy Management، وانقر فوق Next، ثم فوق Install.

  3. بعد أن توضح صفحة Installation Results نجاح عملية التثبيت الخاصة بـ "وحدة التحكم بالإدارة لنهج المجموعة" (GPMC) (Group Policy Management Console)، انقر فوق Close.

  4. انقر فوق Start، وأشر إلى Administrative Tools، ثم انقر فوق Group Policy Management.

  5. في شجرة وحدة التحكم، انقر نقراً مزدوجاً فوق Group Policy Objects الموجود في الغابة والمجال الذي يحتوي على Default Domain Policy الخاص بـ "كائن نهج المجموعة" ‎(GPO) (Group Policy object)‎ الذي ترغب في تحريره.

  6. انقر بزر الماوس الأيمن فوق Default Domain Policy ‏GPO، ثم انقر فوق Edit.

  7. في شجرة وحدة التحكم ضمن Computer Configuration\Windows Settings\Security Settings، انقر فوق Public Key Policies.

  8. انقر نقراً مزدوجاً فوق Certificate Path Validation Settings، ثم انقر فوق علامة التبويب Revocation.

  9. حدد خانة الاختيار Define these policy settings، وحدد إعدادات النهج التي تريد تطبيقها، ثم انقر فوق OK لتطبيق الإعدادات الجديدة.

تمديد فترة الصلاحية لاستجابات CRL و OCSP لكمبيوتر محلي

تعد عضوية Administrators هي الحد الأدنى لعضوية المجموعة المطلوبة لإكمال هذا الإجراء.

تمديد فترة الصلاحية لاستجابات CRL و OCSP لكمبيوتر محلي
  1. انقر فوق Start، واكتب gpedit.msc في المربع Search programs and files، ثم اضغط على ENTER.

  2. في شجرة وحدة التحكم ضمن Local Computer Policy\Computer Configuration\Windows Settings\Security Settings، انقر فوق Public Key Policies.

  3. انقر نقراً مزدوجاً فوق Certificate Path Validation Settings، ثم انقر فوق علامة التبويب Revocation.

  4. حدد خانة الاختيار Define these policy settings، ثم حدد خانة الاختيار Allow CRL and OCSP responses to be valid longer than their lifetime.

  5. في المربع Default time the validity period can be extended ، أدخل قيمة للوقت (بالساعات)، ثم انقر فوق OK لتطبيق الإعدادات الجديدة.

تمديد فترة الصلاحية لاستجابات CRL و OCSP لمجال

تعد عضوية مجموعة Domain Admins هي الحد الأدنى لعضوية المجموعة المطلوبة لإكمال هذا الإجراء.

تمديد فترة الصلاحية لاستجابات CRL و OCSP لمجال
  1. انقر فوق Start، وأشر إلى Administrative Tools، ثم انقر فوق Server Manager.

  2. ضمن Features Summary، انقر فوق Add Features. حدد خانة الاختيار Group Policy Management، وانقر فوق Next، ثم فوق Install.

  3. بعد أن توضح صفحة Installation Results نجاح عملية التثبيت الخاصة بـ GPMC، انقر فوق Close.

  4. انقر فوق Start، وأشر إلى Administrative Tools، ثم انقر فوق Group Policy Management.

  5. في شجرة وحدة التحكم، انقر نقراً مزدوجاً فوق Group Policy Objects الموجود في الغابة والمجال الذي يحتوي على Default Domain Policy‏ ‎ GPO‎الذي ترغب في تحريره.

  6. انقر بزر الماوس الأيمن فوق Default Domain Policy ‏GPO، ثم انقر فوق Edit.

  7. في شجرة وحدة التحكم ضمن Computer Configuration\Windows Settings\Security Settings، انقر فوق Public Key Policies.

  8. انقر نقراً مزدوجاً فوق Certificate Path Validation Settings، ثم انقر فوق علامة التبويب Revocation.

  9. حدد خانة الاختيار Define these policy settings، ثم حدد خانة الاختيار Allow CRL and OCSP responses to be valid longer than their lifetime.

  10. في المربع Default time the validity period can be extended ، أدخل قيمة للوقت (بالساعات)، ثم انقر فوق OK لتطبيق الإعدادات الجديدة.

مراجع إضافية


جدول المحتويات