我正在使用 Microsoft 的公钥基础设施 (PKI),我有兴趣了解更多有关如何确定 CRL 的到期日期以及如何在 Microsoft PKI 环境中调整它的信息。
具体来说:
哪些因素和配置决定了 Microsoft PKI 中 CRL 的默认到期日期/期限?例如,CRL 本身的有效期为 2 天、一周或六个月
如何修改或延长 CRL 到期日期以更好地符合我们组织的安全策略和证书生命周期?
我知道 CRL 发布间隔和 CRL 到期日期之间的区别。但是,我有兴趣了解影响 CRL 到期日期的因素和配置。
答案1
与 ADCS 中的许多事物一样,它由注册表中的配置设置控制。
方便的是,微软允许我们使用该certutil.exe工具来设置这些,而不是直接编辑注册表。
例如:
certutil -setreg ca\ValidityPeriod "Weeks"
certutil -setreg ca\ValidityPeriodUnits "1"
将设置 CRL 的有效期为一周。必须重新启动 CA 服务才能使更改生效。
您可以使用以下命令读取当前设置:
certutil -getreg ca\ValidityPeriod
certutil -getreg ca\ValidityPeriodUnits
在我的实验室中,CA 被称为W2K19-Issuing-CA1,我得到:
PS C:\PKIScripts> certutil.exe -getreg ca\ValidityPeriod
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\W2K19-Issuing-CA1\ValidityPeriod:
ValidityPeriod REG_SZ = Years
CertUtil: -getreg command completed successfully.
PS C:\PKIScripts> certutil.exe -getreg ca\ValidityPeriodUnits
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\W2K19-Issuing-CA1\ValidityPeriodUnits:
ValidityPeriodUnits REG_DWORD = 2
CertUtil: -getreg command completed successfully.
这意味着其颁发的 CRL 有效期为两周。
您还可以通过这种方式(而不是通过 GUI)通过改变ca\CRLOverlapPeriod和来改变发布间隔ca\CRLOverlapUnits。