Windows-Server-2008-R2
如何配置 Windows 證書服務在頒發證書時不使用 AIA 和 CRL
我在 Windows Server 2008 R2 VM 上安裝了一個 Windows 證書服務,我需要做的是修改證書不使用 AIA 和 CRL,而只使用 OCSP 響應程序。OCSP 安裝在另一個同樣執行 Windows Server 2008 R2 的 VM 上,並指向 CA 和 OCSP 響應者證書模板。
我無法做的是從證書中刪除 AIA 和 CRL。有人可以幫我解決這個問題,因為我試圖找到它嗎?有人告訴我這是可能的!
謝謝
安迪
解決了。我需要做的就是從 AIA 和 CRL 中刪除 URL。這會停止將屬性添加到證書中。所有吊銷檢查都是通過 Oracle Access Manager 從 ocsp 完成的。
雖然這不是一個答案,但我強烈建議在頒發的證書中包含 CDP 擴展:
- 您的 OCSP 伺服器將出現單點故障。
- Windows OCSP 伺服器是基於 CRL 的,因此您仍然必須提供對 OCSP 伺服器的 CRL 引用。
- 您應該了解 CryptoAPI 行為方面的一個方面:當客戶端從同一頒發者處接收到多個證書(預設值為 50)時,CryptoAPI 將停止查詢 OCSP 並下載頒發者 CRL。此 CRL 將一直使用到過期為止。CRL 到期後,CryptoAPI 客戶端開始使用 OCSP,直到遇到來自同一頒發者的“神奇”數量的證書。客戶端將停止使用 OCSP 並嘗試使用 CRL。如果 CryptoAPI 客戶端達到該“神奇”數字且 CRL 不可用,證書連結引擎將報告此頒發者的“RevocationOffline”錯誤。
您不應該在沒有必要的情況下降低應用程序的可靠性,因為 CDP 擴展不會花費您任何費用。