证书吊销列表 (CRL),并在 IIS 5.0 经常要求的问题

Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发点 (CDP)? A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。...
<script type=text/javascript> loadTOCNode(1, 'moreinformation'); </script>
Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发点 (CDP)?

A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。 CRL 文件还包含 CRL、 在生效的日期和下一次的更新日期的颁发者的名称。 默认情况下, 最短的 CRL 的有效期为一小时。

在 CDP 是的位置可以下载最新的 CRL。 在 CDP 通常是 CRL 分发点 字段的证书 详细信息 选项卡中列出的。 很常见列表使用不同的访问方法来确保程序,(如 Web 浏览器和 Web 服务器可以始终获取最新的 CRL 的多个 CDP。

下面是 CDP 条目的示例:
[1]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=ldap:///CN=SecTestCA1,CN=SECTESTCA1,CN=CDP,CN=Public%20Key%20Services,
CN=Services,CN=Configuration,DC=rte,DC=microsoft,
DC=com?certificateRevocationList?base?objectclass=cRLDistributionPoint

[2]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=http://sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl

[3]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=file:sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl
Q 2: IIS 5.0 时检索 CRL?

在 A 2: 每个 CRL 具有生效的日期。 生效日期也称为"下一次更新"或"有效时间"。 IIS 5.0 检索 CRL,仅当以下条件之一为 True:
  • 在 IIS 5.0 缓存中不包含证书的 CRL。
  • 已通过在 IIS 5.0 缓存 CRL 的有效日期。
Q 3: 如果该证书中包含多个 CRL 分发点,执行 IIS 5.0 检索 CRL 从每个位置?

A 3: 没有。 使用仅第一个,或 Top,位置。 如果成功,IIS 5.0 将尝试下一个 CRL 分发点。

Q 4: 是否在每个 CRL 分发点的每个 CRL 的内容下载和合并?

A 4: 没有。 只有一个 CRL 被下载。

Q5: 是否存储在运行 IIS 5.0 的计算机上的 CRL?

A 5: 是。 但是,此 CRL 的操作的任何结果不支持 Microsoft 产品支持服务。 Q6: 如何标识 CRL? 这就是哪些扩展 CRL 文件使用?

A 6: CRL 使用.crl 扩展名。 是例如 CRL FileName [1].crl。

请注意 FileName 列在证书上 CRL 分发点。

Q7: 如果 IIS 5.0 无法找到此 CRL,则会内容发生?

A 7: 默认,IIS 5.0 如果失败无法访问证书的 CRL。 因此,多个路径和协议都使用相同的 CRL 分发点。 是例如 CRL 分发点的 URL 中使用下列协议和路径:
  • HTTP
  • 轻量目录访问协议 (LDAP)
  • 文件
Q8: 如果无法获取有效的 CRL,内容的错误消息出现在 Web 浏览器? 如果获取 CRL,并且该证书已吊销显示相同的错误消息吗?

A 8: 是,您收到同一错误消息在两个方案中。 您收到以下错误消息时:
HTTP 403.13 禁止: 客户端证书吊销

在的页面要求提供有效的客户端证书

Q9: 时遇到下列症状之一:
  • 您使 CRL 不可用。 但是,IIS 不会检索新的 CRL,并且不会不会出现故障。
  • 您吊销证书并重新发布 CRL。 但是,IIS 5.0 仍然允许通过使用吊销的证书中找到一个 Web 站点的用户。
A9: 这些情况下都与同一问题。 IIS 5.0 仍然使用没有通过其生效的日期的缓存的 CRL。 有关详细信息,请参阅"Q 2: IIS 5.0 时检索 CRL? ”。

Q10: 是否可以强制更新缓存的 CRL?

A 10: 无法强制更新缓存的 CRL。 CRL 具有到期日期。 在 CR 后,续订 CRL。

证书选择从存储区或从一个 URL 时,将所有证书都存储在缓存。 唯一的区别是缓存的证书存储的位置。 证书可以存储在以下位置:
  • 内存

    内存中缓存所有检索到的证书。
  • CA 存储区

    从任何 WinInet 支持 URL 检索如 HTTP、 FTP、 LDAP 和通过使用颁发机构信息访问 (AIA) 扩展的 FILE CA 中缓存的所有证书都存储。
  • 本地文件系统

    如果检索 URL 是 LDAP: / / Ftp: / /,或以 http://、 证书或 CRL 也缓存 WinInet 的本地文件系统中。 缓存存储在文档和 Settings/ UserName Settings/Temporary Internet Files 文件夹。
有关证书以及有关缓存的其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx (http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx)

更多信息
Q12 : 可以 IIS 5.0 执行"实时"CRL 检查?A12 : 否。 IIS 5.0 使用缓存中的 CRL,直到 CRL 过期。 最小的有效期限由 Mi...

<script type=text/javascript> loadTOCNode(1, 'moreinformation'); </script>
Q12 : 可以 IIS 5.0 执行"实时"CRL 检查?

A12 : 否。 IIS 5.0 使用缓存中的 CRL,直到 CRL 过期。 最小的有效期限由 Microsoft 证书服务发布的 CRL 的是一个的小时。 可以从要强制新的 CRL 检索缓存删除 CRL。 但是,新的 CRL 仍有相同的有效期。

参考
有关 Internet X.509 公钥基础结构证书和 CRL 配置文件的详细信息,请访问下面的 Internet 工程任务组 (IETF) 网站:征求意见文档...

<script type=text/javascript> loadTOCNode(1, 'references'); </script>
有关 Internet X.509 公钥基础结构证书和 CRL 配置文件的详细信息,请访问下面的 Internet 工程任务组 (IETF) 网站:

征求意见文档 (RFC) 2459
http://www.ietf.org/rfc/rfc2459.txt?number=2459 (http://www.faqs.org/rfcs/rfc2459.html)

这篇文章中的信息适用于:
  • Microsoft Internet Information Services 5.0
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值