發行大量憑證的案例,像是利用網際網路通訊協定安全性 (IPsec) 強制部署網路存取保護 (NAP),會產生唯一的公開金鑰基礎結構 (PKI) 需求。為了滿足這些需求,Windows Server 2008 R2 引進了下列選項,可用來設定大量憑證授權單位 (CA) 使用的憑證範本。這些選項位於憑證範本內容工作表頁的 [伺服器] 索引標籤。

不在 CA 資料庫中儲存憑證及要求

大量簽發的憑證通常會在簽發後的幾小時內到期,而且簽發的 CA 需要處理大量憑證要求。根據預設值,每個要求與簽發的憑證的記錄會儲存在 CA 資料庫。大量的要求會增加 CA 資料庫成長率與管理成本。

[不在 CA 資料庫中儲存憑證及要求] 選項可用來設定範本,讓 CA 在處理憑證要求時不會將記錄新增至 CA 資料庫。

重要

發行的 CA 必須經過設定,才能支援已啟用此選項的憑證要求。在發行的 CA 上執行下列命令:CertUtil.exe –SetReg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

簽發的憑證中不包含撤銷資訊

撤銷某些大量 CA 所簽發的憑證並沒有好處,因為那些憑證通常會在簽發後的幾小時內就到期。

[簽發的憑證中不包含撤銷資訊] 選項可用來設定範本,讓 CA 從簽發的憑證中排除撤銷資訊。這樣可避免在憑證驗證期間檢查撤銷狀態並減少驗證時間。

附註

使用 [不在 CA 資料庫中儲存憑證及要求] 選項時,建議同時使用此選項。

其他參考資料