我在实验室环境中安装了3个CA:
- SA 根 CA
- SA 中级 CA
- 企业 CA(也是 DC)
讲师建议,一旦企业 CA 已颁发证书,就将根 CA 和中级 CA 脱机。我已将根 CA 和中级 CA 脱机,现在无法验证企业 CA 的证书,因为根 CA 和中级 CA 都在信任链中,并且不可用。
为了解决这个问题,我想将 CRL 发布到始终可用的服务器上的共享文件夹中,但 CRL 的有效期只有一周。这意味着我必须每周启动根 CA 和中级 CA 来发布 CRL?
针对这种情况通常提出的解决方案是什么?
答案1
您是否知道可以将 CRL 发布到 Active DIrectory 然后保留更长的时间?
http://networkerslog.blogspot.com/2010/12/publish-offline-certificates-and-crls.html
然后我会把有效性提高一些——显然如此。否则重新发布 CRL 的工作量太大了。