吊销提供程序从证书颁发机构 (CA) 检索证书吊销列表 (CRL),并使用该吊销列表确定证书的吊销状态。使用“吊销提供程序”属性页为 CRL 和可选增量 CRL 指定一个或多个位置,并定义检索已更新 CRL 的刷新间隔。
基 CRL 和增量 CRL 的位置
可用下表中介绍的格式指定 CRL 和增量 CRL 的位置。在安装联机响应程序服务期间,会将 CA 证书的 CRL 分发点扩展中定义的所有 CRL 位置添加到吊销提供程序中。
位置格式 | 示例 |
---|---|
HTTP | http://OnlineResponderHost/OCSP/CRLFile.crl |
LDAP | ldap:///CN=CACommonName,CN=CAHostName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Fabrikam,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint |
可为 CRL 提供多个位置。列表的顺序定义了优先级顺序。如果任何两个 CRL 不包含相同的吊销列表,则使用列在较高位置的 CRL。
刷新间隔
默认刷新间隔被定义为 CRL 有效期。还可以以分钟为单位定义间隔,从而更频繁地刷新 CRL。