您可以藉由設定憑證撤銷清單 (CRL) 和 Delta CRL 之間的重疊期間,來調整兩者間的關係。當下一個基底或 Delta CRL 的發行延遲,或用戶端無法在排定的發行時間取得新的 CRL 或 Delta CRL 時,此設定非常有用。
CRL 的重疊期間是已發行 CRL 存留時間結束時的時間,用戶端可在舊的 CRL 被視為無法使用之前,在該時間內取得新的 CRL。此值的預設設定是 CRL 存留期的 10 %。因為某些環境可能需要更長的期間來複寫 CRL,所以可以手動設定此設定。
 | 附註 |
|
CRL 或 Delta CRL 重疊期間的最大值為 12 個小時。 |
若基本 CRL 和 Delta CRL 已在最近發行,則撤銷的憑證可能會出現於這兩個 CRL 中。這是因為當新基本 CRL 正在複寫的同時,較新的 Delta CRL 可能仍然指向較舊的基本 CRL。讓憑證同時出現於這兩個 CRL 中,可確保撤銷資訊是可用的。
您必須是憑證授權單位 (CA) 系統管理員,才能完成此程序。如需相關資訊,請參閱實作以角色為基礎的管理。
 | 設定 CRL 和 Delta CRL 重疊期間 |
在命令提示字元下,輸入:
certutil -setreg ca\CRLOverlapUnitsValuecertutil -setreg ca\CRLOverlapPeriodUnitscertutil -setreg ca\CRLDeltaOverlapUnitsValuecertutil -setreg ca\DeltaOverlapPeriodUnits開啟 [憑證授權單位] 嵌入式管理單元。
在主控台樹狀目錄中,按一下 CA 的名稱。
在 [執行] 功能表中,指向 [所有工作],然後按一下 [停止服務] 以停止服務。
在 [執行] 功能表中,指向 [所有工作],然後按一下 [啟動服務] 以啟動服務。
 | 注意 |
|
不正確地編輯登錄可能會對系統造成嚴重的損害。變更登錄前,應先備份電腦上所有的重要資料。 |
下表列出的值,可用於此程序中描述的 Certutil 語法。
| 值 | 描述 |
|---|---|
|
Certutil |
指定命令列工具的名稱。 |
|
-setreg |
修改登錄。 |
|
ca\CRLOverlapUnits |
指出儲存 CRL 重疊設定值的登錄值。 |
|
ca\CRLDelataOverlapUnits |
指出儲存 Delta CRL 重疊設定值的登錄值。 |
|
值 |
提供要設定此選項的數值。 |
|
ca\CRLOverlapPeriod |
指出儲存 CRL 重疊單位類型設定值的登錄值。 |
|
ca\DeltaOverlapPeriod |
指出儲存 Delta CRL 重疊單位類型設定值的登錄值。 |
|
Units |
提供重疊期間的單位類型。有效值為分鐘、小時及天。 |
| 附註 |
|
如果您的環境尚未設定來發行 Delta CRL,則 CRLDeltaOverlapUnits 和 DeltaOverlapPeriod 的設定將不會生效。 |
其他考量
-
若要開啟命令提示字元,按一下 [開始],指向 [所有程式],再按一下 [附屬應用程式],然後按一下 [命令提示字元]。