Alla certifikat har en giltighetstid. Om du återkallar ett certifikat ogiltigförklaras det som en betrodd säkerhetsreferens innan den ursprungliga giltighetstiden går ut. Det finns många orsaker till varför ett certifikat kan bli opålitligt som säkerhetsreferens innan det upphör att gälla. Exempel:

  • Komprometterande eller misstänkt komprometterande av certifikatämnets privata nyckel.

  • Komprometterande eller misstänkt komprometterande av en certifikatutfärdares privata nyckel.

  • Upptäckten av att ett certifikat har anskaffats bedrägligt.

  • Statusändringar för certifikatämnet som en betrodd entitet.

  • Namnändringar i certifikatämnet.

Det är inte alltid möjligt att kontakta en certifikatutfärdare eller betrodd server för information om giltigheten hos ett certifikat. Därför måste en klientdator kunna nå återkallningsinformationen för att kunna avgöra om ett certifikat är giltigt eller har återkallats. Active Directory-certifikattjänsterna stöder industriella standardmetoder för certifikatåterkallning i olika situationer. Det inkluderar publicering av listor över återkallade certifikat och listor över ändringar för återkallade certifikat som kan göras tillgängliga från olika platser, t.ex. AD DS (Active Directory Domain Services), webbservrar och delade nätverksfiler.

OBS

I Windows Server 2008 R2 och Windows Server 2008 kan en onlinesvarare användas för att göra återkallningsinformationen mer åtkomlig i komplexa nätverksmiljöer. En onlinesvarare använder återkallningsinformationen från listor över återkallade certifikat och bearbetar statusförfrågningar från klienter individuellt.

Listor över återkallade certifikat är fullständiga, digitalt signerade listor över certifikat som har återkallats. Listorna publiceras med jämna mellanrum och kan hämtas och cachelagras av klientdatorer (baserat på listans konfigurerade livstid) och användas för att verifiera återkallningsstatus för ett certifikat.

Eftersom listorna över återkallade certifikat kan bli långa, beroende på antalet utfärdade och återkallade certifikat, kan du även publicera kortare listor över ändringar för återkallade certifikat. Listorna över ändringar för återkallade certifikat innehåller endast de certifikat som har återkallats sedan den ordinarie listan publicerades. På det sättet kan klienter hämta de kortare listorna och snabbt bygga en komplett lista över återkallade certifikat. Ändringslistorna gör också att återkallningsinformationen kan publiceras oftare eftersom det tar kortare tid att överföra informationen än för en fullständig lista.


Innehåll