我知道我们可以使用证书颁发机构 UI 清除 Windows Server 2008 中的 CRL 缓存。但是,我想自动执行该过程,因此寻找一种从命令行执行此操作的方法。是否可以使用 certutil 或 Windows 中的任何其他默认实用程序?
问候,
安迪
答案1
要刷新客户端缓存,CRL 必须过期 - 没有办法“推送”客户端需要从 CA 端获取新 CRL 的通知。您当然可以将 CRL 设置为非常快地过期,但这有点违反直觉,因为每个客户端都需要非常频繁地下载完整的 CRL。
更合适的解决方案(或者更确切地说,本质上为这种特定情况构建的解决方案)是发布快速过期的增量 CRL(以便客户端可以获取非常小的文件并且仍然可以了解最近的撤销 - 潜在的延迟时间将范围达到增量 CRL 间隔)或 OCSP 响应器(将立即获得撤销信息)。
如果您有可能实施其中一种解决方案,那么这就是我所建议的 - 否则,您可能只会陷入很快就会过期的主 CRL 中。