必须建立证书吊销数据的定期发布计划,以便客户端始终可以使用非常准确的证书吊销列表 (CRL)。建立此计划时,对准确、最新数据的需求必须兼顾频繁下载新的 CRL 可能对客户端产生的影响。

您必须是证书颁发机构 (CA) 管理员才能完成此过程。有关详细信息,请参阅实现基于角色的管理

计划发布 CRL 的步骤
  1. 打开“证书颁发机构”管理单元。

  2. 在控制台树中,单击“吊销的证书”

  3. “操作”菜单上,单击“属性”

  4. “CRL 发布间隔”中,键入增量,然后单击自动发布 CRL 所要使用的时间单位。

达到定义的间隔时,默认情况下将在以下文件夹中发布新的 CRL:systemroot\system32\CertSrv\CertEnroll\。如果计算机是域成员并且具有写入 Active Directory 域服务 (AD DS) 的权限,则也会将 CRL 发布到 AD DS。

CRL 的发布期与它的有效期不同。默认情况下,为了允许目录复制,CRL 的有效期超出 CRL 的发布期 10%(最高达 12 个小时)。

计划发布增量 CRL

可以通过同时建立增量 CRL 的发布计划来扩展 CRL 发布计划。

您必须是 CA 管理员才能完成此过程。有关详细信息,请参阅实现基于角色的管理

计划发布增量 CRL 的步骤
  1. 打开“证书颁发机构”管理单元。

  2. 在控制台树中,单击“吊销的证书”

  3. “操作”菜单上,单击“属性”

  4. 选中“发布增量 CRL”复选框。

  5. “发布间隔”中,键入增量,然后单击自动发布增量 CRL 所要使用的时间单位。


目录