Как очистить кэш CRL в Windows Server 008 с помощью команды certutil?

Question

Как очистить кэш CRL в Windows Server 008 с помощью команды certutil?

Я знаю, что мы можем очистить CRL Cache в Windows Server 2008 с помощью пользовательского интерфейса центра сертификации. Тем не менее, я хочу автоматизировать процесс и поэтому ищу способ сделать это из командной строки. Возможно ли использовать certutil или любые другие утилиты по умолчанию в Windows?

С Уважением,

Энди

1

active-directory ad-certificate-services crl

Источник

Andy Brikshaw 17 фев '12 в 05:39

1 ответ

Решение

Другие вопросы по тегам active-directory ad-certificate-services crl

Shane Madden 17 фев '12 в 17:57 2012-02-17 17:57 · Accepted Answer · 2012-02-17 17:57

Чтобы обновить клиентский кеш, срок действия CRL должен истечь - нет способа "подтолкнуть" уведомление о том, что клиент должен получить новый CRL со стороны CA. Вы, конечно, можете установить, что срок действия CRL истекает очень быстро, но это немного нелогично, так как полный CRL должен будет загружаться очень часто каждым клиентом.

Более подходящим решением (или, скорее, решениями, которые были по существу созданы для этого конкретного случая) было бы опубликовать быстро истекающие дельта-CRL (чтобы клиенты могли получить очень маленький файл и при этом быть в курсе последних аннулирований - потенциальных задержек) будет варьироваться до интервала дельта CRL) или респондента OCSP (который будет иметь информацию об аннулировании немедленно).

Если бы вы могли реализовать одно из этих решений, то я бы посоветовал вам это сделать - в противном случае вы можете просто застрять с очень быстро истекающим основным CRL.