Velkoobjemové scénáře vystavování certifikátů, jako jsou například nasazení architektury NAP (Network Access Protection) s vynucením protokolu IPsec (Internet Protocol security), vytvářejí potřebu jedinečné infrastruktury veřejných klíčů (PKI). K vyřešení této potřeby lze použít následující možnosti, jež jsou nově uvedeny v systému Windows Server 2008 R2 a jež umožňují konfiguraci šablon certifikátů pro použití velkoobjemovými certifikačními autoritami. Tyto možnosti jsou k dispozici v listu vlastností šablony certifikátu na kartě Server.
Neukládat certifikáty a žádosti do databáze certifikační autority
Platnost certifikátů vystavených ve velkoobjemových scénářích obvykle vyprší během několika hodin po vystavení a vystavující certifikační autorita zpracovává velké množství žádostí o certifikáty. Ve výchozím nastavení je záznam každé žádosti a vystaveného certifikátu ukládán do databáze certifikační autority. Velké množství žádostí zvyšuje tempo růstu databáze certifikační autority a náklady na její správu.
Možnost Neukládat certifikáty a žádosti do databáze certifikační autority nakonfiguruje šablonu tak, aby certifikační autorita zpracovávala žádosti o certifikát bez přidávání záznamů do databáze certifikační autority.
Důležité informace | |
Vystavující certifikační autorita musí být nakonfigurována tak, aby podporovala žádosti o certifikát, u kterých je tato možnost povolena. Ve vystavující certifikační autoritě spusťte následující příkaz: CertUtil.exe –SetReg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS. |
Nezahrnovat informace o odvolání do vystavených certifikátů
Odvolání certifikátů některými velkoobjemovými certifikačními autoritami není výhodné, protože platnost certifikátů obvykle vyprší během několika hodin po vystavení.
Možnost Nezahrnovat informace o odvolání do vystavených certifikátů nakonfiguruje šablonu tak, aby certifikační autorita vyloučila informace o odvolání z vystavených certifikátů. Tím se vyhnete kontrole stavu odvolání během ověření platnosti certifikátu a čas ověření se zkrátí.
Poznámka | |
Tato možnost je doporučena vždy, když je použita možnost Neukládat certifikáty a žádosti do databáze certifikační autority. |