每個憑證都具備一個特定的有效發行期間。撤銷憑證,會使憑證在原始有效期間到期之前,成為無效的信任安全性認證。為何憑證會在其排定的到期日之前變成不值得信賴的安全性認證,有數個原因。範例包含:
-
洩露或懷疑洩露憑證主體的私密金鑰。
-
洩露或懷疑洩露憑證授權單位 (CA) 的私密金鑰。
-
發現憑證是以詐騙取得。
-
將憑證主體的狀態變更為信任的實體。
-
變更憑證主體的名稱。
您不一定都能連絡 CA 或其他信任的伺服器,以取得憑證有效性的相關資訊。若要有效地支援憑證狀態檢查,用戶端必須能夠存取撤銷資料,以判斷憑證是否有效,或已遭撤銷。為了支援各種案例,Active Directory 憑證服務 (AD CS) 支援工業標準的憑證撤銷方法。這些包括憑證撤銷清單 (CRL) 和 Delta CRL 的發行,讓用戶端可從不同位置加以使用,包括 Active Directory 網域服務 (AD DS)、網頁伺服器及網路檔案共用。
 | 附註 |
|
在 Windows Server 2008 R2 及 Windows Server 2008 中,可使用線上回應讓 CRL 資料在複雜的網路環境中更容易存取。線上回應會使用來自 CRL 的憑證撤銷資料,並個別處理用戶端的憑證狀態要求。 |
CRL 是已遭撤銷之憑證的完整且數位簽署的清單。這些清單會定期發行,且可讓用戶端擷取和快取 (以 CRL 的設定存留時間為依據),並用來確認憑證的撤銷狀態。
因為 CRL 可視 CA 所發行和撤銷的憑證數目而變得很大,所以您也可以發行較小的過渡 CRL (稱為 Delta CRL)。Delta CRL 僅包含自從最後一個正常 CRL 發行之後被撤銷的憑證。這允許用戶端擷取較小的 Delta CRL,且更快速地建立撤銷憑證的完整清單。使用 Delta CRL 也可更頻繁地發行撤銷資料,因為 Delta CRL 的大小通常不像完整 CRL 一樣需要花費很多傳輸時間。