Certificate delta CRL过期时的PKI客户端行为

我有一个内部Windows Server 2012企业根CA和几个CDP。我试图确保在Windows Server 2012上运行的.NET客户端应用程序在构建证书链时不会失败，因为它在该过程中使用的CRL和增量CRL文件已过期

到目前为止，似乎一个可能的解决方案是发布重叠的CRL，以延长阻止基本CRL发布的故障会导致应用程序因其而死亡的时间（仍在寻找详细/非理论解释，如果您有示例，请让我知道）

另一种可能的解决方案（甚至与重叠CA结合使用）是长CRL发布间隔（例如2周）和短增量CRL间隔（例如1小时）。这里的问题是-在这种情况下会发生什么：

• 客户端缓存了基本CRL和增量CRL
• 出于这样或那样的原因，Delta CRL不能发布到CDP中，比如说6个小时——远远超过Delta CRL的有效期，但是（在大多数情况下）在基本CRL过期之前

大约一小时后（如果增量CRL每小时发布一次），最后一次成功发布的增量CRL将过期，因此唯一有效的增量CRL（在一段时间内）将是基本CRL。客户端是否会继续处理，因为它缓存了基本CRL？还是会失败？我找到的最接近的解释是：“如果存在有效的基本CRL并且可用，但没有可用的增量或时间有效增量，证书链接引擎将返回一条警告，指出没有可用的增量CRL”。客户机似乎应该继续处理，而不是抛出异常，这是有道理的，但这是一篇非常老的文章，我会觉得更适合一些更新的内容……：）

那么，归根结底，上述文章是否仍然适用于现代系统？如果您有任何关于如何在Windows Server 2012企业CA上设置重叠CRL发布的详细信息，请共享…：）

---

谢谢

它的内容与我上面链接的内容非常相似，但有一些额外的信息确认，当增量CRL过时时，该行为将是加密链接引擎返回给客户端的“警告”，而不是错误。请参阅“Delta CRL如何工作”和“客户端处理”部分。如果有人有经验，可以证实这一点，这将是伟大的。另外，如果你有任何关于重叠的详细信息，那也很好。。。当我在net.OK中找到dig时，我会发布任何更新，因此如果基本CRL或Delta CRL丢失或过期，我的.net应用程序会抛出一个异常，即使我（上面）看到的引用将丢失/过期的Delta CRL称为“警告”状态。至于重叠的CRL，它看起来比我最初想象的要简单得多-我所要做的就是将CRLOverlapPeriod和CRLDeltaOverlapPeriod注册表项设置为某个N（非0）值（小于原始发布频率），这实际上使CA更快地发布新的CRL，因此重叠。。。我想我是想得太多了……：）