Sie können das Verhältnis zwischen einer Zertifikatsperrliste (Certificate Revocation List, CRL) und einer Deltazertifikatsperrliste anpassen, indem Sie für beide einen Überschneidungszeitraum konfigurieren. Diese Einstellung ist besonders hilfreich, wenn sich die Veröffentlichung der nächsten Basiszertifikatsperrliste oder Deltazertifikatsperrliste verzögert oder der Client zum vorgesehenen Zeitpunkt der Veröffentlichung keine neue Zertifikatsperrliste oder Deltazertifikatsperrliste beziehen kann.

Der Überschneidungszeitraum für Zertifikatsperrlisten ist die Zeitspanne am Ende der Gültigkeitsdauer einer veröffentlichten Zertifikatsperrliste, in der ein Client eine neue Zertifikatsperrliste beziehen kann, bevor die alte Zertifikatsperrliste als unbrauchbar angesehen wird. Die Standardeinstellung für diesen Wert beträgt 10 % der Gültigkeitsdauer der Zertifikatsperrliste. Da in einigen Umgebungen längere Zeiträume erforderlich sein können, um eine Zertifikatsperrliste zu replizieren, kann diese Einstellung manuell konfiguriert werden.

Hinweis

Der Höchstwert für den Zertifikatsperrlisten- bzw. Deltazertifikatsperrlisten-Zeitraum beträgt 12 Stunden.

Wenn kürzlich eine Basiszertifikatsperrliste und eine Deltazertifikatsperrliste veröffentlicht wurden, kann in beiden Zertifikatsperrlisten ein gesperrtes Zertifikat angezeigt werden. Der Grund dafür ist, dass die neuere Deltazertifikatsperrliste immer noch auf die ältere Basiszertifikatsperrliste hinweisen kann, während die neue Basiszertifikatsperrliste repliziert wird. Durch die Anzeige des Zertifikats in beiden Zertifikatsperrlisten wird sichergestellt, dass die Sperrinformationen verfügbar sind.

Sie müssen als Zertifizierungsstellenadministrator angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So konfigurieren Sie einen Zertifikatsperrlisten- und Deltazertifikatsperrlisten-Überschneidungszeitraum
  1. Geben Sie an einer Eingabeaufforderung Folgendes ein:

    certutil -setreg ca\CRLOverlapUnits Value

    certutil -setreg ca\CRLOverlapPeriod Units

    certutil -setreg ca\CRLDeltaOverlapUnits Value

    certutil -setreg ca\DeltaOverlapPeriod Units

  2. Öffnen Sie das Zertifizierungsstellen-Snap-In.

  3. Klicken Sie in der Konsolenstruktur auf den Namen der Zertifizierungsstelle.

  4. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie auf Dienst beenden, um den Dienst zu beenden.

  5. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie auf Dienst starten, um den Dienst zu starten.

Vorsicht

Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Schäden am System verursacht werden. Bevor Änderungen an der Registrierung vorgenommen werden, sollten Sie eine Sicherungskopie aller wichtigen Daten auf dem Computer erstellen.

Die folgende Tabelle enthält die Werte, die in der Certutil-Syntax verwendet werden können, die in diesem Verfahren beschrieben wird.

Wert Beschreibung

Certutil

Gibt den Namen des Befehlszeilentools an.

-setreg

Ändert die Registrierung.

ca\CRLOverlapUnits

Zeigt den Registrierungswert an, der den Wert für die Zertifikatsperrlisten-Überschneidungseinstellung speichert.

ca\CRLDelataOverlapUnits

Zeigt den Registrierungswert an, der den Wert für die Deltazertifikatsperrlisten-Überschneidungseinstellung speichert.

Wert

Gibt den numerischen Wert an, auf den diese Option festgelegt werden soll.

ca\CRLOverlapPeriod

Zeigt den Registrierungswert an, der den Wert für die Einstellung des Zertifikatsperrlisten-Überschneidungseinheitstyps speichert.

ca\DeltaOverlapPeriod

Zeigt den Registrierungswert an, der den Wert für die Einstellung des Deltazertifikatsperrlisten-Überschneidungseinheitstyps speichert.

Einheiten

Gibt den Einheitstyp für den Überschneidungszeitraum an. Gültige Werte sind Minuten, Stunden und Tage.

Hinweis

Wenn Ihre Umgebung für die Ausstellung von Deltazertifikatsperrlisten nicht konfiguriert wurde, haben die Einstellungen für Zertifikatsperrlisten-Deltaüberschneidungseinheiten und -Deltaüberschneidungszeitraum keinen Einfluss.

Weitere Überlegungen

  • Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Eingabeaufforderung.

Weitere Verweise


Inhaltsverzeichnis