如何查看域控制器中内存中的 OCSP 缓存到 CRL 缓存的大小?
换句话说,大多数使用 CryptoAPI 的 Windows 进程都拥有与该应用程序相关的每个 CRL 和 OCSP 的内存缓存。这一点很重要,因为客户端内存使用量和网络 IO 请求量之间存在巨大的性能权衡。
在我的例子中,CRL“客户端”是验证 WCF 证书身份验证的服务器
答案1
当任何 PKI 应用程序需要验证多个证书的 CRL 时,监控缓存大小非常重要。例如,AD 将为 50,000 个 OCSP 用户消耗 100MB 的 RAM,而使用 CRL 方法验证用户证书时则仅消耗 4MB。 参考
缓存有两种类型:磁盘和内存。 虽然这并没有直接回答这个问题也许磁盘缓存的大小可以帮助我们推断内存缓存的大小
CRL磁盘缓存通过输入命令可以找到大小
certutil -urlcache crl
...每个条目乘以 80 字节
OCSP 磁盘缓存尺寸可以通过输入
certutil -urlcache ocsp
并将条目数乘以 2 千字节 (KB)。