Puede ajustar la relación entre una lista de revocación de certificados (CRL) y las diferencias CRL mediante la configuración de un período superpuesto entre ambas. Esta configuración es especialmente útil si la publicación de las siguientes CRL base o diferencias CRL se retrasa o si el cliente no puede obtener una CRL nueva o las diferencias CRL en el tiempo de publicación programado.
El período superpuesto para las CRL es la cantidad de tiempo al final de la duración de una CRL publicada que el cliente puede usar para obtener una CRL nueva antes de que la CRL anterior se considere inservible. La configuración predeterminada para este valor es del 10 por ciento de la duración de la CRL. Dado que algunos entornos pueden requerir períodos más prolongados para replicar una CRL, esta configuración se puede establecer manualmente.
Nota | |
El valor máximo para el período superpuesto de la CRL o las diferencias CRL es de 12 horas. |
Si la CRL base y las diferencias CRL se han publicado recientemente, puede aparecer un certificado revocado en ambas CRL. Esto se debe a que las últimas diferencias CRL pueden seguir señalando a la CRL base anterior mientras se replica la CRL base nueva. El hecho de que el certificado aparezca en ambas CRL garantiza que la información de revocación esté disponible.
Para completar este procedimiento, debe ser administrador de la entidad de certificación (CA). Para obtener más información, vea Implementación de la administración basada en funciones.
Para configurar el período superpuesto de la CRL y las diferencias CRL |
En un símbolo del sistema, escriba:
certutil -setreg ca\CRLOverlapUnits
Valuecertutil -setreg ca\CRLOverlapPeriod
Unitscertutil -setreg ca\CRLDeltaOverlapUnits
Valuecertutil -setreg ca\DeltaOverlapPeriod
UnitsAbra el complemento Entidad de certificación.
En el árbol de consola, haga clic en el nombre de la CA.
En el menú Acción, seleccione Todas las tareas y haga clic en Detener servicio para detener el servicio.
En el menú Acción, seleccione Todas las tareas y haga clic en Iniciar servicio para iniciar el servicio.
Precaución | |
La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de todos los datos importantes que contenga el equipo. |
En la siguiente tabla se incluyen los valores que se pueden usar en la sintaxis de Certutil descrita en este procedimiento.
Valor | Descripción |
---|---|
Certutil |
Especifica el nombre de la herramienta de línea de comandos. |
-setreg |
Modifica el Registro. |
ca\CRLOverlapUnits |
Indica el valor del Registro que almacena el valor para la configuración de superposición de CRL. |
ca\CRLDelataOverlapUnits |
Indica el valor del Registro que almacena el valor para la configuración de superposición de diferencias CRL. |
Valor |
Proporciona el valor numérico en el que establecer esta opción. |
ca\CRLOverlapPeriod |
Indica el valor del Registro que almacena el valor para la configuración del tipo de unidad de superposición de CRL. |
ca\DeltaOverlapPeriod |
Indica el valor del Registro que almacena el valor para la configuración del tipo de unidad de superposición de diferencias CRL. |
Unidades |
Proporciona el tipo de unidades para el período superpuesto. Los valores válidos son Minutos, Horas y Días. |
Nota | |
Si el entorno no está configurado para emitir diferencias CRL, la configuración de CRLDeltaOverlapUnits y DeltaOverlapPeriod no surte efecto. |
Consideraciones adicionales
-
Para abrir un símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios y, a continuación, haga clic en Símbolo del sistema.