什么是吊銷證書及吊銷列表CRL？
為幫助您維護組織公鑰基礎機構 (PKI) 的完整性，如果證書的受領人離開組織，或者證書受領人的私鑰已泄露，或者如果其他一些與安全相關的事件規定它不再需要將證書視為“有效”，則 CA 的管理員必須吊銷證書。當證書被 CA 吊銷時，它將添加到該 CA 的證書吊銷列表 (CRL) 中?？刹扇⌒碌?CRL 或增量 CRL 的形式進行該操作，增量 CRL 是一個小的 CRL，列出自上一個完整的 CRL 以來吊銷的證書。

證書吊銷列表 (CRL) 的發布周期？

證書服務的其中一項功能是：在 CA 管理員指定了時間間隔后，每個 CA 都自動發布更新的 CRL。該時間間隔稱做 CRL“發布期”。在初次安裝 CA 之后，CRL 發布期被設置為一周（根據本地計算機時間，從 CA 首次安裝的日期開始計算）。有關更改證書頒發機構的 CRL 發布間隔的過程，

CRL 和增量 CRL 發布期可獨立安排.
?

?

CA 管理員應了解 CRL 發布期和 CRL 有效期之間的區別。CRL 的有效期是證書驗證者將 CRL 視為權威的時間段。只要證書驗證者在其本地緩存中具有有效的 CRL，它就不會嘗試從發布它的 CA 檢索另一個 CRL。

CRL 的發布期由 CA 管理員建立。但是，CRL 的有效期是從發布期延伸而來的，期間允許進行 Active Directory 復制。在默認情況下，證書服務將發布期延長 10%（最多可加上 12 個小時）以建立有效期。因此，如果 CA 每 24 小時發布 CRL，那么有效期設置為 26.4 小時。

此外，還存在時鐘偏差（在發布期的開始和結束時間額外增加 10 分鐘）。因此考慮到計算機時鐘設置中的偏差，CRL 將在其發布期開始前 10 分鐘有效。

管理員還可使用注冊表項來控制發布期和有效期之間的差異，以便更慢的目錄復制也能順利進行。

證書列表位置：

?

手動發布證書吊銷列表

使用 Windows 界面

以證書頒發機構管理員的身份登錄系統。

打開“證書頒發機構”。

在控制臺樹中，單擊“吊銷的證書”。?
位置

• 證書頒發機構（計算機）/CA 名稱/吊銷的證書
  ?

在“操作”菜單上，指向“所有任務”，然后單擊“發布”。

選擇“新的 CRL”，覆蓋以前發布的證書吊銷列表 (CRL)，或選擇“僅增量 CRL”來發布當前增量 CRL。

即使發布了新的 CRL，擁有以前發布的 CRL 或增量 CRL 的緩存副本的客戶端也將繼續使用它，直到有效期期滿為止。手動發布 CRL 并不影響仍處于有效期的 CRL 的緩存副本，它只為沒有有效 CRL 的系統生成新的 CRL。?

• 默認情況下，在安裝 CA 的服務器上將在下列位置發布 CRL 和增量 CRL：
  
  Systemroot\system32\CertSrv\CertEnroll\
  ?
• 如果 Active Directory 目錄服務可用，它們也發布到 Active Directory。
  ?

使用命令行

打開“命令提示符”。
?

鍵入：?certutil?-crl

本文轉自?

?

zhxhua

?51CTO博客，原文鏈接：http://blog.51cto.com/virtualtop/350077?，如需轉載請自行聯系原作者

?

總結

以上是生活随笔為你收集整理的手动发布证书吊销列表的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。