我有一个内部 Windows Server 2012 企业根 CA 和几个 CDP。我试图确保在 Windows Server 2012 上运行的 .NET 客户端应用程序在构建证书链时不会失败,因为它用作该过程的一部分的 CRL 和 Delta CRL 文件已过期。
到目前为止,似乎一个可能的解决方案是发布重叠的 CRL,以延长阻止基本 CRL 发布的失败可能会根据它们杀死应用程序的时间(仍在寻找关于如何准确的详细/非理论解释完成了,如果你有例子,请告诉我)
另一种可能的解决方案(或什至与重叠 CA 相结合)是具有较长的 CRL 发布间隔(例如 2 周)和较短的 Delta CRL 间隔(例如 1 小时)。这里的问题是 - 在这样的场景中会发生什么:
- 客户端缓存了 Base 和 Delta CRL
- 由于某种原因,Delta CRL 无法发布给 CDP,比如说 6 小时 - 超过 Delta CRL 的有效期,但(在大多数情况下)在基本 CRL 过期之前
大约一个小时后(假设 Delta CRL 每小时发布一次),最后一次成功发布的 Delta CRL 将过期,因此(一段时间内)唯一有效的将是 Base CRL。客户端是否会在缓存了 Base CRL 后继续处理?还是会失败?我找到的最接近的解释来自这篇旧文章:“如果存在有效的基本 CRL 并且可用,但没有可用的 delta 或时间有效的 delta,则证书链接引擎会返回一个警告,即没有可用的 delta CRL ”。似乎客户应该继续处理而不是抛出异常,这是有道理的,但这是一篇非常古老的文章,我会对更新的东西感到更舒服...... :)
那么,最重要的是,上述文章仍然适用于现代系统吗?如果您有任何有关如何在 Windows Server 2012 Enterprise CA 上设置重叠 CRL 发布的详细信息,请分享... :)
谢谢!