Отозванный сертификат становится непригодным для использования в системе безопасности еще до окончания запланированного периода его действия. Инфраструктура публичного ключа (PKI) основана на распределенной проверке учетных сведений и не предполагает подключения непосредственно к центральному доверенному органу выдачи учетных данных.
Для эффективной поддержки отзыва сертификата клиентский компьютер должен определить, действителен сертификат или отозван. Для поддержки нескольких сценариев службы сертификации Active Directory поддерживают стандартные методы отзыва сертификатов. К ним относятся публикация списков отзыва сертификатов (CRL) и изменений списков отзыва в нескольких доступных клиентам ресурсах, в том числе в доменных службах Active Directory, на веб-серверах и в общедоступных сетевых файлах. В системе Windows доступ к данным отзыва может задаваться с помощью ряда параметров через ответы протокола OCSP.
Примечание | |
Списки отзыва сертификатов публикуются периодически в указанных сетевых ресурсах, откуда их можно загружать на клиентские компьютеры. Ответы OCSP имеют цифровую подпись. В них указывается состояние конкретного сертификата: сертификат был отозван, действие сертификата приостановлено, состояние сертификата неизвестно. Ответы OCSP получают данные из опубликованных списков CRL. Они также могут обновляться непосредственно из базы данных состояний сертификатов ЦС. |
Кроме того, групповая политика открытых ключей позволяет администраторам повысить эффективность использования списков отзыва сертификатов и ответчиков OCSP, особенно в тех случаях, когда быстродействие снижается из-за применения очень больших списков отзыва или в результате плохой работы сети.
В этом разделе описаны процедуры для следующих задач.
Настройка параметров отзыва на локальном компьютере
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы.
Чтобы настроить параметры отзыва на локальном компьютере, выполните следующие действия. |
Нажмите кнопку Пуск, введите gpedit.msc в поле Найти программы и файлы и нажмите клавишу ВВОД.
В дереве консоли в разделе Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.
Дважды щелкните Параметры подтверждения пути сертификата, а затем щелкните вкладку Отзыв.
Установите флажок Определить следующие параметры политики, выберите параметры политики, которые нужно применить, затем нажмите кнопку ОК, чтобы применить новые параметры.
Настройка параметров отзыва для домена
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена.
Чтобы настроить параметры отзыва на домене, выполните следующие действия. |
Нажмите кнопку Пуск, выберите Администрирование, затем Диспетчер сервера.
В группе Сводка компонентов щелкните Добавить компоненты. Установите флажок Управление групповой политикой, нажмите кнопку Далее, а затем нажмите кнопку Установить.
После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповыми политиками, нажмите кнопку Закрыть.
Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем щелкните элемент Управление групповой политикой.
В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики (GPO) Политика домена по умолчанию.
Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите командуИзменить.
В дереве консоли в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.
Дважды щелкните Параметры подтверждения пути сертификата, затем перейдите на вкладку Отзыв.
Установите флажок Определить параметры политики, выберите параметры политики, которые нужно применить, затем нажмите кнопку ОК, чтобы применить новые параметры.
Расширение периода действия списка отзыва сертификатов и ответов OCSP для локального компьютера
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы.
Чтобы расширить период действия списка CRL и ответов OCSP локального компьютера, выполните следующие действия. |
Нажмите кнопку Пуск, введите gpedit.msc в поле Найти программы и файлы и нажмите клавишу ВВОД.
В дереве консоли в разделе Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.
Дважды щелкните Параметры подтверждения пути сертификата, а затем щелкните вкладку Отзыв .
Установите флажок Определить следующие параметры политики, а затем установите флажок Разрешить ответам CRL и OCSP быть действительными дольше времени их жизни.
В поле Время для расширения периода действия введите значение времени (в часах) и нажмите кнопку ОК, чтобы применить новые параметры.
Расширение периода действия списка отзыва сертификатов и ответов OCSP для домена
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена.
Чтобы расширить период действия списка CRL и ответов OCSP домена, выполните следующие действия. |
Нажмите кнопку Пуск, выберите Администрирование, затем Диспетчер сервера.
В группе Сводка компонентов щелкните Добавить компоненты. Установите флажок Управление групповой политикой, нажмите кнопку Далее, а затем кнопку Установить.
После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповой политикой (GPMC), нажмите кнопку Закрыть.
Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем щелкните элемент Управление групповой политикой.
В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики (GPO) Политика домена по умолчанию.
Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить.
В дереве консоли в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.
Дважды щелкните Параметры подтверждения пути сертификата, затем перейдите на вкладку Отзыв.
Установите флажок Определить следующие параметры политики, а затем установите флажок Разрешить превышение срока действия над сроком жизни для ответов CRL и OCSP.
В поле Время для расширения периода действия введите значение времени (в часах) и нажмите кнопку ОК, чтобы применить новые параметры.
Дополнительные источники информации