受信任的安全性認證於排定的有效日期前到期時,憑證的撤銷會使憑證失效。公開金鑰基礎結構 (PKI) 依賴認證的分散式驗證,在這些驗證中,不需要直接與中心受信任的資料項目 (此項目可擔保認證) 進行通訊。

若要有效地支持憑證撤銷,用戶端電腦必須決定該憑證是有效的或者已被撤銷。為了支持多種狀況,Active Directory 憑證服務支持業界標準的憑證撤銷方法。其中包含發佈憑證撤銷清單 (CRL) 以及位於數個位置可供用戶端存取的 Delta CRL (包含 Active Directory 網域服務、網頁伺服器以及網路檔案共用)。在 Windows 中,可以透過線上憑證狀態通訊協定 (OCSP) 回應使用不同設定來撤銷資料。

附註

CRL 會定期發佈至指定的網路位置,以供用戶端電腦進行下載。OCSP 回應是數位簽署的回應,指出個別憑證是否已經撤銷或暫停,或者其狀態為未知。OCSP 回應程式可從已發佈的 CRL 取得其資料,或者可以直接從憑證授權單位 (CA) 的憑證狀態資料庫直接更新。

此外,公開金鑰 [群組原則] 可讓系統管理員強化 CRL 以及 OCSP 回應程式的使用,特別是針對極大的 CRL 或網路狀況效能降低的情況。

這個主題包括下列工作的程序:

設定本機電腦的撤銷設定

若要完成此程序,至少需要 Administrators 群組成員資格。

設定本機電腦的撤銷設定
  1. 按一下 [開始],在 [搜尋程式及檔案] 方塊中輸入 gpedit.msc,然後按 ENTER。

  2. [本機電腦原則\電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]

  3. 按兩下 [憑證路徑驗證設定] 後,按一下 [撤銷] 索引標籤。

  4. 選取 [定義這些原則設定] 核取方塊後,選取您要套用的原則設定,然後按一下 [確定] 套用新設定。

設定網域的撤銷設定

若要完成此程序,至少需要 Domain Admins 群組成員資格。

設定網域的撤銷設定
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員]

  2. 按一下 [功能摘要] 下的 [新增功能]。選取 [群組原則管理] 核取方塊後按 [下一步],然後按一下 [安裝]

  3. 等到 [安裝結果] 頁面顯示已順利安裝群組原則管理主控台 (GPMC) 後,按一下 [關閉]

  4. 按一下 [開始],並指向 [系統管理工具] 後,再按一下 [群組原則管理]

  5. 在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] 群組原則物件 (GPO) 的樹系和網域中,按兩下 [群組原則物件]

  6. [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]

  7. [電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]

  8. 按兩下 [憑證路徑驗證設定] 後,按一下 [撤銷] 索引標籤。

  9. 選取 [定義這些原則設定] 核取方塊後,選取您要套用的原則設定,然後按一下 [確定] 套用新設定。

延長本機電腦之 CRL 和 OCSP 回應的有效期間

若要完成此程序,至少需要 Administrators 群組成員資格。

延長本機電腦之 CRL 和 OCSP 回應的有效期間
  1. 按一下 [開始],在 [搜尋程式及檔案] 方塊中輸入 gpedit.msc,然後按 ENTER。

  2. [本機電腦原則\電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]

  3. 按兩下 [憑證路徑驗證設定] 後,按一下 [撤銷] 索引標籤。

  4. 選取 [定義這些原則設定] 核取方塊後,選取 [允許 CRL 與 OCSP 回應的有效時間比其存留期更長] 核取方塊。

  5. [有效期間可以延長的預設時間] 方塊中輸入時間值 (小時),然後按一下 [確定] 套用新設定。

延長網域之 CRL 和 OCSP 回應的有效期間

若要完成此程序,至少需要 Domain Admins 群組成員資格。

延伸網域之 CRL 和 OCSP 回應的有效期間
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員]

  2. 按一下 [功能摘要] 下的 [新增功能]。選取 [群組原則管理] 核取方塊後按 [下一步],然後按一下 [安裝]

  3. 等到 [安裝結果] 頁面顯示已順利安裝 GPMC 後,按一下 [關閉]

  4. 按一下 [開始],並指向 [系統管理工具] 後,再按一下 [群組原則管理]

  5. 在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] (GPO) 的樹系和網域中,連按兩下 [群組原則物件]

  6. [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]

  7. [電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]

  8. 按兩下 [憑證路徑驗證設定] 後,按一下 [撤銷] 索引標籤。

  9. 選取 [定義這些原則設定] 核取方塊後,選取 [允許 CRL 與 OCSP 回應的有效時間比其存留期更長] 核取方塊。

  10. [有效期間可以延長的預設時間] 方塊中輸入時間值 (小時),然後按一下 [確定] 套用新設定。

其他參考資料


目錄