证书的吊销使作为受信任安全凭据的证书在其有效期计划过期之前便无效。公钥基础结构 (PKI) 取决于凭据的分布式验证,这样就不必与保护凭证安全的中央信任实体直接通讯。

若要有效地支持证书吊销,客户端计算机必须确定证书是有效还是已被吊销。若要支持各种方案,Active Directory 证书服务需要支持证书吊销的行业标准方法。其中包括在客户端访问的多个位置(包括 Active Directory 域服务、Web 服务器和网络文件共享)中发布证书吊销列表 (CRL) 和增量 CRL。在 Windows 中,还可以通过联机证书状态协议 (OCSP) 响应使吊销数据可用于各种设置。

注意

CRL 定期发布到客户端计算机可以下载这些 CRL 的指定网络位置。OCSP 响应是经过数字签名的响应,表示单个证书是已被吊销、被挂起,还是证书状态未知。OCSP 响应程序从发布的 CRL 获取其数据,也可以从证书颁发机构 (CA) 的证书状态数据库直接对其进行更新。

此外,管理员可以使用公钥组策略增强 CRL 和 OCSP 响应程序的用途,特别是在极大的 CRL 或网络条件降低性能的情况下。

本主题包括执行以下任务的过程:

在本地计算机上配置吊销设置

管理员是完成此过程所需的最低组成员身份。

在本地计算机上配置吊销设置的步骤
  1. 单击「开始」,在“搜索程序和文件”框中键入 gpedit.msc,然后按 Enter。

  2. 在控制台树中的“本地计算机策略\计算机配置\Windows 设置\安全设置”下,单击“公钥策略”

  3. 双击“证书路径验证设置”,然后单击“吊销”选项卡。

  4. 选中“定义这些策略设置”复选框,选择要应用的策略设置,然后单击“确定”应用新设置。

为域配置吊销设置

Domain Admins 是完成此过程所需的最低组成员身份。

为域配置吊销设置的步骤
  1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”

  2. “功能摘要”下,单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”

  3. “安装结果”页显示已成功安装组策略管理控制台 (GPMC) 后,单击“关闭”

  4. 单击「开始」,指向“管理工具”,然后单击“组策略管理”

  5. 在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”

  6. 右键单击“默认域策略”GPO,然后单击“编辑”

  7. 在控制台树中“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”

  8. 双击“证书路径验证设置”,然后单击“吊销”选项卡。

  9. 选中“定义这些策略设置”复选框,选择要应用的策略设置,然后单击“确定”应用新设置。

延长本地计算机的 CRL 和 OCSP 响应的有效期

管理员是完成此过程所需的最低组成员身份。

延长本地计算机的 CRL 和 OCSP 响应的有效期的步骤
  1. 单击「开始」,在“搜索程序和文件”框中键入 gpedit.msc,然后按 Enter。

  2. 在控制台树中的“本地计算机策略\计算机配置\Windows 设置\安全设置”下,单击“公钥策略”

  3. 双击“证书路径验证设置”,然后单击“吊销”选项卡。

  4. 选中“定义这些策略设置”复选框,然后选中“允许 CRL 和 OCSP 响应的有效期超过其生存期”复选框。

  5. “可以扩展有效期的默认时间”框中,输入时间值(以小时为单位),然后单击“确定”应用新设置。

延长域的 CRL 和 OCSP 响应的有效期

Domain Admins 是完成此过程所需的最低组成员身份。

延长域的 CRL 和 OCSP 响应的有效期的步骤
  1. 单击「开始」,指向“管理工具”,然后单击“服务器管理器”

  2. “功能摘要”下,单击“添加功能”。选中“组策略管理”复选框,单击“下一步”,然后单击“安装”

  3. “安装结果”页显示 GPMC 的安装成功后,单击“关闭”

  4. 单击「开始」,指向“管理工具”,然后单击“组策略管理”

  5. 在控制台树中,双击包含要编辑的“默认域策略” GPO 的林和域中的“组策略对象”

  6. 右键单击“默认域策略”GPO,然后单击“编辑”

  7. 在控制台树中“计算机配置\Windows 设置\安全设置”下,单击“公钥策略”

  8. 双击“证书路径验证设置”,然后单击“吊销”选项卡。

  9. 选中“定义这些策略设置”复选框,然后选中“允许 CRL 和 OCSP 响应的有效期超过其生存期”复选框。

  10. “可以扩展有效期的默认时间”框中,输入时间值(以小时为单位),然后单击“确定”以应用新设置。

其他参考


目录