Руководство по сбросу локального списка отзыва сертификатов (CRL)

Question

Руководство по сбросу локального списка отзыва сертификатов (CRL)

Как я могу сбросить локальный CRL (в локальной кассе ОС) в Windows OS (XP, Windows 7) вручную? Нам нужно сбросить локальный CRL, потому что в противном случае ОС будет использовать локальный CRL до периода "следующего обновления".

Как описано в "Вручную опубликовать CRL":

Клиенты, имеющие кэшированную копию ранее опубликованного CRL или дельта-CRL, будут продолжать использовать его, пока не истечет срок его действия, даже если новый CRL был опубликован. Публикация CRL вручную не влияет на кэшированные копии CRL, которые все еще действительны; это только делает новый CRL доступным для систем, которые не имеют действительного CRL.

3

windows active-directory crl

Источник

Sasha 22 июн '11 в 10:09

2 ответа

Другие вопросы по тегам windows active-directory crl

Sergey Vlasov 05 окт '11 в 14:51 2011-10-05 14:51 · Answer 1 · 2011-10-05 14:51

Из статьи " Как работает отзыв сертификата":

certutil -urlcache crl delete

Но есть предупреждение:

Может потребоваться перезапустить приложение или даже компьютер, чтобы очистить кэш CRL в Windows XP или Windows Server 2003.

Очевидно, эта команда и другие ее варианты очищают только кэш диска, но CRL также могут кэшироваться в памяти, поэтому может потребоваться перезапуск некоторых служб.

Для Windows Vista (и предположительно 7) предлагается лучший метод, который также должен очищать CRL, кэшированные в памяти:

certutil -setreg chain\ChainCacheResyncFiletime @now

George Postelnicu 19 окт '15 в 10:54 2015-10-19 10:54 · Answer 2 · 2015-10-19 10:54

Эта команда должна выполняться как на контроллере домена, так и на клиентском компьютере.
На контроллере домена запустите:

certutil -setreg chain\ChainCacheResyncFiletime @now
net stop certsvc
net start certsvc

На клиентской машине запустите:

certutil -setreg chain\ChainCacheResyncFiletime @now

1

Источник

George Postelnicu 19 окт '15 в 10:54