我有一个 Windows ADDS CA,出于某种原因,它在 CRL 中发布了已撤销但已过期的证书,我无论如何也想不出原因。这是我的配置:
- 服务器 2012 R2
- 独立 CA
- 它是具有自签名证书的根 CA(即,它是信任层次结构的顶部)
- CRLF_PUBLISH_EXPIRED_CERT_CRLS 未设置
- EKUOIDsForPublishExpiredCertInCRL 键仅包含默认 OID(我相信是软件签名和内核签名)。此处讨论的证书是 IPSec 证书。
- 我们不发布增量 CRL - 只发布完整 CRL
- CRL 有效期为 35 天,其中重叠期为 7 天
据我所知,根据上述设置,过期证书不应出现在 CRL 中。尤其是就我们看到的持续时间而言(我们已撤销 2018 年过期但仍出现在 CRL 中的证书!)。
还有其他设置可能导致这种情况吗?一般来说,这是一个相当“普通”的 CA。我知道最简单的解决方案就是从 CA 中删除过期的证书,但此时我更好奇为什么会发生这种情况,因为看起来不应该发生这种情况...