理想情况下,证书吊销数据在中心位置进行管理,并且立即可供所有潜在用户使用。但是,在复杂的网络环境中,有时这种情况无法实现。

但是,使用联机响应程序的组织可以创建本地证书吊销列表 (CRL),在联机响应程序无法从证书颁发机构 (CA) 或其他联机响应程序获取更新的吊销数据时的间隔期间,在本地管理证书吊销数据。下次建立连接时,可以将本地 CRL 数据复制回 CA CRL 并删除本地 CRL。本地 CRL 在删除之前,始终优先于吊销提供程序提供的吊销状态信息。

若要完成此过程,必须在托管联机响应程序的服务器上具有“管理联机响应程序”权限。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理

若要修改本地 CRL 中的证书数据,请执行下列操作:
  1. 打开“联机响应程序”管理单元。

  2. 在控制台树中,单击“吊销配置”

    现有吊销配置的列表将出现在详细信息窗格中。

  3. 右键单击某个吊销配置,然后单击“本地证书吊销列表”

  4. “本地证书吊销列表”对话框中,选择要修改其数据的证书。

  5. 单击“更新”

  6. 修改要更改的值。

  7. 单击两次“确定”退出“本地证书吊销列表”对话框。

本地吊销数据与整个 CA 的吊销数据进行同步之后,应删除本地 CRL 中的所有数据。

若要完成此过程,必须在托管联机响应程序的服务器上具有“管理联机响应程序”权限。有关管理 PKI 的详细信息,请参阅实现基于角色的管理

若要从本地 CRL 中删除一个或多个证书,请执行下列操作:
  1. 打开“联机响应程序”管理单元。

  2. 在控制台树中,单击“吊销配置”

    现有吊销配置的列表将出现在详细信息窗格中。

  3. 右键单击某个吊销配置,然后单击“本地证书吊销列表”

  4. “本地证书吊销列表”对话框中,选择要从本地 CRL 中删除的证书。

  5. 单击“删除”

  6. 单击两次“确定”退出“本地证书吊销列表”对话框。