颁发的每个证书都有一个特定的有效期。吊销证书就是使证书在最初的有效期过期之前不能作为有效的受信任的安全凭据。造成证书在其计划的过期日期之前成为不可信的安全凭据的原因有多种。有关示例包括:
-
证书使用者的私钥被泄露或怀疑被泄露。
-
证书颁发机构 (CA) 的私钥被泄露或怀疑被泄露。
-
发现通过欺骗手段获取证书。
-
将证书使用者的状态更改为受信任实体。
-
更改证书使用者的名称。
并不能始终通过联系 CA 或其他受信的任服务器了解有关证书有效性的信息。若要有效支持证书状态检查,客户端必须能够访问吊销数据,以确定证书是有效还是已被吊销。为支持各种方案,Active Directory 证书服务 (AD CS) 支持证书吊销的行业标准方法。其中包括发布证书吊销列表 (CRL) 和增量 CRL,来自不同位置(包括 Active Directory 域服务 (AD DS)、Web 服务器和网络文件共享)的客户端都能使用这些证书吊销列表 (CRL) 和增量 CRL。
 | 注意 |
|
在 Windows Server 2008 R2 和 Windows Server 2008 中,可以使用联机响应程序在复杂的网络环境中使 CRL 数据更容易访问。联机响应程序使用 CRL 中的证书吊销数据并单独处理来自客户端的证书状态请求。 |
CRL 是已吊销证书的完整数字签名列表。会定期发布这些列表,客户端可以检索和缓存这些列表(根据配置的 CRL 的生存时间),并用于验证证书的吊销状态。
由于 CRL 可能变得非常大(具体取决于 CA 颁发和吊销的证书数量),因此还可以发布较小的临时 CRL(称为增量 CRL)。增量 CRL 仅包含自从上次定期发布 CRL 以来被吊销的证书。这样,客户端便可以检索较小的增量 CRL,并能更快地构建被吊销证书的完整列表。使用增量 CRL 还可以更频繁地发布吊销数据,原因是增量 CRL 通常比较小,传输时不像完整 CRL 那样需要较长时间。