Certificate delta CRL过期时的PKI客户端行为
我有一个内部Windows Server 2012企业根CA和几个CDP。我试图确保在Windows Server 2012上运行的.NET客户端应用程序在构建证书链时不会失败,因为它在该过程中使用的CRL和增量CRL文件已过期 到目前为止,似乎一个可能的解决方案是发布重叠的CRL,以延长阻止基本CRL发布的故障会导致应用程序因其而死亡的时间(仍在寻找详细/非理论解释,如果您有示例,请让我知道) 另一种可能的解决方案(甚至与重叠CA结合使用)是长CRL发布间隔(例如2周)和短增量CRL间隔(例如1小时)。这里的问题是-在这种情况下会发生什么:Certificate delta CRL过期时的PKI客户端行为,certificate,pki,ca,Certificate,Pki,Ca,我有一个内部Windows Server 2012企业根CA和几个CDP。我试图确保在Windows Server 2012上运行的.NET客户端应用程序在构建证书链时不会失败,因为它在该过程中使用的CRL和增量CRL文件已过期 到目前为止,似乎一个可能的解决方案是发布重叠的CRL,以延长阻止基本CRL发布的故障会导致应用程序因其而死亡的时间(仍在寻找详细/非理论解释,如果您有示例,请让我知道) 另一种可能的解决方案(甚至与重叠CA结合使用)是长CRL发布间隔(例如2周)和短增量CRL间隔(例如
- 客户端缓存了基本CRL和增量CRL
- 出于这样或那样的原因,Delta CRL不能发布到CDP中,比如说6个小时——远远超过Delta CRL的有效期,但是(在大多数情况下)在基本CRL过期之前
谢谢 它的内容与我上面链接的内容非常相似,但有一些额外的信息确认,当增量CRL过时时,该行为将是加密链接引擎返回给客户端的“警告”,而不是错误。请参阅“Delta CRL如何工作”和“客户端处理”部分。如果有人有经验,可以证实这一点,这将是伟大的。另外,如果你有任何关于重叠的详细信息,那也很好。。。当我在net.OK中找到dig时,我会发布任何更新,因此如果基本CRL或Delta CRL丢失或过期,我的.net应用程序会抛出一个异常,即使我(上面)看到的引用将丢失/过期的Delta CRL称为“警告”状态。至于重叠的CRL,它看起来比我最初想象的要简单得多-我所要做的就是将CRLOverlapPeriod和CRLDeltaOverlapPeriod注册表项设置为某个N(非0)值(小于原始发布频率),这实际上使CA更快地发布新的CRL,因此重叠。。。我想我是想得太多了……:)