部署吊销列表
10/11/2017
本文内容
要执行吊销,必须部署吊销列表。吊销列表中指定了已经被吊销的内容、应用程序、用户或其他主体。您可以部署组织内的吊销列表,也可以部署 Microsoft 提供的吊销列表。
部署组织的吊销列表
要将吊销列表与权限策略模板一起使用,必须使组织中的客户端计算机能够访问该吊销列表。有关创建吊销列表的信息,请参阅本主题中前面的“执行吊销”。
可以按照下列步骤部署组织内的吊销列表:
将吊销列表文件复制到组织内外的用户都可访问的 Web 服务器上。由于用户可能会在组织外部使用受保护的内容,因此,网络内外的所有用户应该都能访问所指定位置。
将吊销列表文件分发到客户端计算机可能需要一定时间。因此,有可能当用户试图打开需要吊销列表的文档时,却无法在自己的客户端计算机上找到该吊销列表。如果客户端计算机上没有该吊销列表,则支持 RMS 的应用程序可以从用户许可证中指定的位置处下载该列表。
理想情况是,创建一个脚本以在每天自动签署吊销列表并将其复制到该网站。这样有助于避免因用户的吊销列表过时而无法使用内容。有关脚本示例,请参阅本主题中前面的“使用吊销列表签署工具”。
在权限策略模板中,为组织内的吊销列表指定大于零的刷新间隔。这可确保吊销列表不是任选的。如果您不会经常更新该列表,例如仅在出现安全漏洞时才更新,可以将刷新条件设置为较长的间隔,然后根据脚本或策略设置在需要时将吊销列表分发到客户端计算机上。有关设置刷新间隔的信息,请参阅本主题中前面的“定义吊销策略”。有关配置权限策略模板的详细信息,请参阅本主题中稍后的“创建和修改权限策略模板”。
在权限策略模板中,指定可提供吊销列表的 URL。
或者使用自动方法,例如组策略或 Systems Management Server (SMS),将吊销列表部署到客户端计算机。
部署来自 Microsoft 的吊销列表
对于使用来自 Microsoft 的吊销列表的 Rights Management Services 客户端,您必须在客户端计算机上部署该列表。本主题将说明在以下情况下如何部署来自 Microsoft 的吊销列表:
您所在组织希望同时部署自己的吊销列表和来自 Microsoft 的吊销列表。
您所在组织希望仅部署来自 Microsoft 的吊销列表。
如果吊销列表是由 Microsoft 发布,则可从以下位置下载:
RMS 服务器可以使用 Windows Update 下载吊销列表。
另外,如果 RMS 服务器未连接至互联网,也可以从 Microsoft 下载中心下载 Microsoft 吊销列表。
如果将吊销列表包下载到 RMS 服务器,该列表包将保存到 %systemdrive%\Program Files\Windows Rights Management Services Revocation Listt 文件夹中。如果将吊销列表包下载到其他类型的计算机上,则可以选择下载位置。吊销列表包中包含了可执行文件 CRL_Update.exe,运行该文件可以在客户端许可证存储中安装所有的客户端吊销列表;吊销列表包还包含了吊销列表文件 Msrl.xml,您可以将此文件复制到网站或公共共享文件夹。
部署组织的吊销列表和来自 Microsoft 的吊销列表
要部署组织的吊销列表,请按照本主题中前面的“部署吊销列表”中的操作说明。
下载 Microsoft 吊销列表包,然后使用某种方法(如组策略或 Systems Management Server (SMS))将其部署到组织中的所有客户端计算机上。或者,您可以将 Microsoft 吊销列表中的项复制到组织内的吊销列表中,然后仅部署组织内的吊销列表。
注意
Microsoft 是由 RMS 颁发的所有证书和许可证的信任链中的一个主体。因此,由 Microsoft 颁发的吊销列表将影响所有绑定请求,这些请求将基于需要使用组织内的吊销列表的权限策略模板来获取用户许可证。此外,Microsoft 吊销列表将注册到客户端计算机上。
仅部署 Microsoft 吊销列表
下载 Microsoft 吊销列表包。
修改任何现有的要求吊销的权限策略模板;如果没有,则创建一个要求吊销的权限策略模板。指定吊销条件时,使用 Microsoft 公钥。
将刷新间隔设置为非常大的数值,如 50,000。此数值将确保由 Microsoft 发布的吊销列表永不过期。因此,当不存在新版本的 Microsoft 吊销列表时,您分发的用户许可证将不会要求提供该吊销列表。
将吊销列表文件复制到组织内外的用户都可访问的 Web 服务器上。由于用户可能会在组织外部使用受保护内容,因此,网络内外的所有用户应该都能访问所指定位置。
由于向客户端计算机分发吊销列表可能要占用一些时间,因此您必须使该吊销列表可用。由于同一原因,当用户试图使用要求提供吊销列表的发布许可证来打开文档时,可能无法在计算机本地找到该吊销列表。如果客户端计算机上没有该吊销列表,则支持 RMS 的应用程序可以从指定位置下载吊销列表。
在权限策略模板中,指定可提供吊销列表的 URL。有关配置权限策略模板的详细信息,请参阅本主题中稍后的“创建和修改权限策略模板”。
或者,通过使用某种方法(如组策略或 SMS),将吊销列表包部署到客户端计算机。然后,即使用户没有连接到网络,仍可以打开需要吊销列表的受 RMS 保护的内容。