Данные сертификатов, включая доверенные корневые сертификаты, перекрестные сертификаты и списки отзыва сертификатов (CRL), эффективны только при условии их своевременного обновления. Параметры получения по сети и подтверждения пути обеспечивают следующие возможности для администраторов.

  • Автоматическое обновление сертификатов в программе корневых сертификатов Майкрософт.

  • Настройка значений времени ожидания для списков отзыва сертификатов и подтверждения пути (при недостаточно хорошей работе сети могут быть полезны более высокие значения).

  • Разрешение получения сертификатов поставщика во время подтверждения пути.

  • Определение частоты загрузки перекрестных сертификатов.

В этом разделе описаны процедуры для следующих задач.

Управление загрузкой CRL

Для безопасного использования сертификатов большое значение имеет своевременное получение данных отзыва сертификатов. Однако могут возникнуть проблемы в случае таймаута при проверке подтверждения и загрузке данных отзыва сертификатов и перекрестных сертификатов, поскольку передается больше данных, чем изначально планировалось.

Параметры получения по сети в групповой политике открытых ключей позволяют администраторам настраивать значения таймаута получения по сети.

Увеличение параметра времени ожидания получения для больших списков отзыва сертификатов для локального компьютера

Для выполнения данной процедуры необходимо быть членом группы Администраторы или группы с более высокими полномочиями.

Чтобы увеличить значение параметра таймаута получения для больших списков отзыва сертификатов на локальном компьютере, выполните следующие действия.
  1. Нажмите кнопку Пуск, введите gpedit.msc в поле Найти программы и файлы и нажмите клавишу ВВОД.

  2. В дереве консоли в разделе Политика локального компьютера\Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.

  3. Дважды щелкните Параметры подтверждения пути сертификата, а затем щелкните вкладку Получение по сети.

  4. Установите флажок Определить следующие параметры политики .

  5. В группе Параметры по умолчанию для времени ожидания получения введите значение времени ожидания в поле Время ожидания получения URL-адреса (в секундах), затем нажмите кнопку ОК, чтобы применить новые параметры.

Увеличение параметра времени ожидания получения для больших списков отзыва сертификатов для домена

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена.

Чтобы увеличить значение параметра таймаута получения для больших списков отзыва сертификатов на домене, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите Администрирование, затем Диспетчер сервера.

  2. В группе Сводка компонентов щелкните Добавить компоненты. Установите флажок Управление групповой политикой, нажмите кнопку Далее, а затем нажмите кнопку Установить.

  3. После того как на странице Результаты установки появится сообщение об успешной установке консоли управления групповыми политиками, нажмите кнопку Закрыть.

  4. Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем щелкните элемент Управление групповой политикой.

  5. В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики (GPO) Политика домена по умолчанию.

  6. Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите командуИзменить.

  7. В дереве консоли в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности щелкните пункт Политики открытого ключа.

  8. Дважды щелкните Параметры подтверждения пути сертификата, затем перейдите на вкладку Получение по сети.

  9. Установите флажок Определить параметры политики.

  10. В группе Параметры по умолчанию для времени ожидания получения введите значение времени ожидания в поле Время ожидания получения URL-адреса (в секундах), затем нажмите кнопку ОК, чтобы применить новые параметры.

Дополнительные источники информации


Содержание