如何配置 Windows 证书服务以在颁发证书时不使用 AIA 和 CRL

如何配置 Windows 证书服务以在颁发证书时不使用 AIA 和 CRL

我在 Windows Server 2008 R2 VM 上安装了 Windows 证书服务,我需要做的是修改证书,使其不使用 AIA 和 CRL,而只使用 OCSP 响应器。OCSP 安装在另一台也运行 Windows Server 2008 R2 的 VM 上,并指向 CA 和 OCSP 响应器证书模板。

我无法做的是从证书中删除 AIA 和 CRL。有人能帮我吗?我已经尝试过很多方法了。有人告诉我这是可行的!

谢谢

安迪

答案1

虽然这不是答案,但我强烈建议在颁发的证书中包含 CDP 扩展:

  1. 您的 OCSP 服务器将成为单点故障。
  2. Windows OCSP 服务器是基于 CRL 的,因此您仍然必须向 OCSP 服务器提供 CRL 引用。
  3. 您应该了解 CryptoAPI 的一个行为方面:当客户端从同一颁发者收到许多证书(默认值为 50)时,CryptoAPI 将停止查询 OCSP 并下载颁发者 CRL。此 CRL 将一直使用,直到过期。CRL 过期后,CryptoAPI 客户端开始使用 OCSP,直到面临来自同一颁发者的“神奇”数量的证书。客户端将停止使用 OCSP 并尝试使用 CRL。如果 CryptoAPI 客户端达到该“神奇”数字并且 CRL 不可用,证书链引擎将报告此颁发者的“RevocationOffline”错误。

您不应该在没有必要的情况下降低应用程序的可靠性,因为 CDP 扩展不会花费您任何费用。

答案2

已解决。我所需要做的就是从 AIA 和 CRL 中删除 URL。这会停止将属性添加到证书中。所有撤销检查都是通过 Oracle Access Manager 从 ocsp 完成的。

相关内容