如何配置 Windows 證書服務在頒發證書時不使用 AIA 和 CRL

我在 Windows Server 2008 R2 VM 上安裝了一個 Windows 證書服務，我需要做的是修改證書不使用 AIA 和 CRL，而只使用 OCSP 響應程序。OCSP 安裝在另一個同樣執行 Windows Server 2008 R2 的 VM 上，並指向 CA 和 OCSP 響應者證書模板。

我無法做的是從證書中刪除 AIA 和 CRL。有人可以幫我解決這個問題，因為我試圖找到它嗎？有人告訴我這是可能的！

謝謝

安迪

解決了。我需要做的就是從 AIA 和 CRL 中刪除 URL。這會停止將屬性添加到證書中。所有吊銷檢查都是通過 Oracle Access Manager 從 ocsp 完成的。

雖然這不是一個答案，但我強烈建議在頒發的證書中包含 CDP 擴展：

1. 您的 OCSP 伺服器將出現單點故障。
2. Windows OCSP 伺服器是基於 CRL 的，因此您仍然必須提供對 OCSP 伺服器的 CRL 引用。
3. 您應該了解 CryptoAPI 行為方面的一個方面：當客戶端從同一頒發者處接收到多個證書（預設值為 50）時，CryptoAPI 將停止查詢 OCSP 並下載頒發者 CRL。此 CRL 將一直使用到過期為止。CRL 到期後，CryptoAPI 客戶端開始使用 OCSP，直到遇到來自同一頒發者的“神奇”數量的證書。客戶端將停止使用 OCSP 並嘗試使用 CRL。如果 CryptoAPI 客戶端達到該“神奇”數字且 CRL 不可用，證書連結引擎將報告此頒發者的“RevocationOffline”錯誤。

您不應該在沒有必要的情況下降低應用程序的可靠性，因為 CDP 擴展不會花費您任何費用。

引用自：https://serverfault.com/questions/671920