Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发点 (CDP)? A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。...
<script type=text/javascript> loadTOCNode(1, 'moreinformation'); </script>
Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发点 (CDP)?
A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。 CRL 文件还包含 CRL、 在生效的日期和下一次的更新日期的颁发者的名称。 默认情况下, 最短的 CRL 的有效期为一小时。
在 CDP 是的位置可以下载最新的 CRL。 在 CDP 通常是 CRL 分发点 字段的证书 详细信息 选项卡中列出的。 很常见列表使用不同的访问方法来确保程序,(如 Web 浏览器和 Web 服务器可以始终获取最新的 CRL 的多个 CDP。
下面是 CDP 条目的示例:
Q 2: IIS 5.0 时检索 CRL?
在 A 2: 每个 CRL 具有生效的日期。 生效日期也称为"下一次更新"或"有效时间"。 IIS 5.0 检索 CRL,仅当以下条件之一为 True:
A 3: 没有。 使用仅第一个,或 Top,位置。 如果成功,IIS 5.0 将尝试下一个 CRL 分发点。
Q 4: 是否在每个 CRL 分发点的每个 CRL 的内容下载和合并?
A 4: 没有。 只有一个 CRL 被下载。
Q5: 是否存储在运行 IIS 5.0 的计算机上的 CRL?
A 5: 是。 但是,此 CRL 的操作的任何结果不支持 Microsoft 产品支持服务。 Q6: 如何标识 CRL? 这就是哪些扩展 CRL 文件使用?
A 6: CRL 使用.crl 扩展名。 是例如 CRL FileName [1].crl。
请注意 FileName 列在证书上 CRL 分发点。
Q7: 如果 IIS 5.0 无法找到此 CRL,则会内容发生?
A 7: 默认,IIS 5.0 如果失败无法访问证书的 CRL。 因此,多个路径和协议都使用相同的 CRL 分发点。 是例如 CRL 分发点的 URL 中使用下列协议和路径:
A 8: 是,您收到同一错误消息在两个方案中。 您收到以下错误消息时:
Q9: 时遇到下列症状之一:
Q10: 是否可以强制更新缓存的 CRL?
A 10: 无法强制更新缓存的 CRL。 CRL 具有到期日期。 在 CR 后,续订 CRL。
证书选择从存储区或从一个 URL 时,将所有证书都存储在缓存。 唯一的区别是缓存的证书存储的位置。 证书可以存储在以下位置:
A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。 CRL 文件还包含 CRL、 在生效的日期和下一次的更新日期的颁发者的名称。 默认情况下, 最短的 CRL 的有效期为一小时。
在 CDP 是的位置可以下载最新的 CRL。 在 CDP 通常是 CRL 分发点 字段的证书 详细信息 选项卡中列出的。 很常见列表使用不同的访问方法来确保程序,(如 Web 浏览器和 Web 服务器可以始终获取最新的 CRL 的多个 CDP。
下面是 CDP 条目的示例:
[1]CRL Distribution Point Distribution Point Name: Full Name: URL=ldap:///CN=SecTestCA1,CN=SECTESTCA1,CN=CDP,CN=Public%20Key%20Services, CN=Services,CN=Configuration,DC=rte,DC=microsoft, DC=com?certificateRevocationList?base?objectclass=cRLDistributionPoint [2]CRL Distribution Point Distribution Point Name: Full Name: URL=http://sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl [3]CRL Distribution Point Distribution Point Name: Full Name: URL=file:sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl
在 A 2: 每个 CRL 具有生效的日期。 生效日期也称为"下一次更新"或"有效时间"。 IIS 5.0 检索 CRL,仅当以下条件之一为 True:
- 在 IIS 5.0 缓存中不包含证书的 CRL。
- 已通过在 IIS 5.0 缓存 CRL 的有效日期。
A 3: 没有。 使用仅第一个,或 Top,位置。 如果成功,IIS 5.0 将尝试下一个 CRL 分发点。
Q 4: 是否在每个 CRL 分发点的每个 CRL 的内容下载和合并?
A 4: 没有。 只有一个 CRL 被下载。
Q5: 是否存储在运行 IIS 5.0 的计算机上的 CRL?
A 5: 是。 但是,此 CRL 的操作的任何结果不支持 Microsoft 产品支持服务。 Q6: 如何标识 CRL? 这就是哪些扩展 CRL 文件使用?
A 6: CRL 使用.crl 扩展名。 是例如 CRL FileName [1].crl。
请注意 FileName 列在证书上 CRL 分发点。
Q7: 如果 IIS 5.0 无法找到此 CRL,则会内容发生?
A 7: 默认,IIS 5.0 如果失败无法访问证书的 CRL。 因此,多个路径和协议都使用相同的 CRL 分发点。 是例如 CRL 分发点的 URL 中使用下列协议和路径:
- HTTP
- 轻量目录访问协议 (LDAP)
- 文件
A 8: 是,您收到同一错误消息在两个方案中。 您收到以下错误消息时:
HTTP 403.13 禁止: 客户端证书吊销
在的页面要求提供有效的客户端证书
在的页面要求提供有效的客户端证书
Q9: 时遇到下列症状之一:
- 您使 CRL 不可用。 但是,IIS 不会检索新的 CRL,并且不会不会出现故障。
- 您吊销证书并重新发布 CRL。 但是,IIS 5.0 仍然允许通过使用吊销的证书中找到一个 Web 站点的用户。
Q10: 是否可以强制更新缓存的 CRL?
A 10: 无法强制更新缓存的 CRL。 CRL 具有到期日期。 在 CR 后,续订 CRL。
证书选择从存储区或从一个 URL 时,将所有证书都存储在缓存。 唯一的区别是缓存的证书存储的位置。 证书可以存储在以下位置:
- 内存
内存中缓存所有检索到的证书。 - CA 存储区
从任何 WinInet 支持 URL 检索如 HTTP、 FTP、 LDAP 和通过使用颁发机构信息访问 (AIA) 扩展的 FILE CA 中缓存的所有证书都存储。 - 本地文件系统
如果检索 URL 是 LDAP: / / Ftp: / /,或以 http://、 证书或 CRL 也缓存 WinInet 的本地文件系统中。 缓存存储在文档和 Settings/ UserName Settings/Temporary Internet Files 文件夹。
http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx
(http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx)
更多信息
Q12 : 可以 IIS 5.0 执行"实时"CRL 检查?A12 : 否。 IIS 5.0 使用缓存中的 CRL,直到 CRL 过期。 最小的有效期限由 Mi...
<script type=text/javascript> loadTOCNode(1, 'moreinformation'); </script>
Q12 : 可以 IIS 5.0 执行"实时"CRL 检查?
A12 : 否。 IIS 5.0 使用缓存中的 CRL,直到 CRL 过期。 最小的有效期限由 Microsoft 证书服务发布的 CRL 的是一个的小时。 可以从要强制新的 CRL 检索缓存删除 CRL。 但是,新的 CRL 仍有相同的有效期。
A12 : 否。 IIS 5.0 使用缓存中的 CRL,直到 CRL 过期。 最小的有效期限由 Microsoft 证书服务发布的 CRL 的是一个的小时。 可以从要强制新的 CRL 检索缓存删除 CRL。 但是,新的 CRL 仍有相同的有效期。
参考
有关 Internet X.509 公钥基础结构证书和 CRL 配置文件的详细信息,请访问下面的 Internet 工程任务组 (IETF) 网站:征求意见文档...
<script type=text/javascript> loadTOCNode(1, 'references'); </script>
有关 Internet X.509 公钥基础结构证书和 CRL 配置文件的详细信息,请访问下面的 Internet 工程任务组 (IETF) 网站:
征求意见文档 (RFC) 2459
征求意见文档 (RFC) 2459
http://www.ietf.org/rfc/rfc2459.txt?number=2459
(http://www.faqs.org/rfcs/rfc2459.html)