Каждый сертификат выдается с конкретным периодом действия. Отозванный сертификат становится непригодным для использования в системе безопасности до истечения исходного срока его действия. Существует множество причин, по которым сертификат может стать недостоверным в качестве учетных данных безопасности до истечения его срока. Например:

  • Компрометация или возможная компрометация закрытого ключа субъекта сертификата.

  • Компрометация или возможная компрометация закрытого ключа центра сертификации.

  • Обнаружение того, что сертификат был получен мошенническим образом.

  • Изменение статуса субъекта сертификата в качестве доверенного субъекта.

  • Изменение имени субъекта сертификата.

Не всегда можно связаться с центром сертификации или с другим доверенным сервером, чтобы получить сведения о действительности сертификата. Для эффективной поддержки проверки статуса сертификатов у клиента должна быть возможность доступа к данным отзыва, чтобы определить, действует ли сертификат или он был отозван. Для поддержки различных сценариев служба AD CS поддерживает методы отзыва сертификатов, являющиеся отраслевым стандартом. Среди них публикация списков отозванных сертификатов (CRL) и разностных CRL, которые могли быть доступны клиентам из различных мест, включая службы AD CS, веб-серверы и общие файловые сетевые ресурсы.

Примечание

В операционных системах Windows Server 2008 R2 и Windows Server 2008 можно использовать сетевой ответчик, чтобы упростить доступ к данным списка отзыва сертификатов в сложных сетевых средах. Сетевой ответчик использует данные отзыва сертификатов из соответствующих списков и обрабатывает запросы состояния сертификатов от клиентов по отдельности.

CRL представляют собой полные и защищенные цифровой подписью списки сертификатов, которые были отозваны. Эти списки публикуются периодически и могут извлекаться и кэшироваться клиентами (на основе настроенного времени жизни CRL), а затем использоваться для проверки статуса отзыва сертификата.

Так как CRL могут быть большими, в зависимости от количества сертификатов, выданных и отозванных центром сертификации, промежуточные CRL называются разностными CRL. Разностные CRL содержат только сертификаты, отозванные с момента публикации последнего регулярного CRL. Это позволяет клиентам получать разностные CRL меньшего размера и быстрее создавать полный список отозванных сертификатов. Использование разностных CRL также позволяет чаще публиковать данные об отзыве, так как благодаря малому размеру разностного CRL для его передачи обычно не требуется так много времени, как для полного CRL.


Содержание