Я знаю, что мы можем очистить кэш CRL в Windows Server 2008 с помощью пользовательского интерфейса центра сертификации. Однако я хочу автоматизировать процесс и поэтому ищу способ сделать это из командной строки. Возможно ли использование certutil или любых других утилит по умолчанию в Windows?
С Уважением,
Энди
Чтобы кэш клиента обновился, у CRL должен быть истек срок действия - нет никакого способа «push» уведомления о том, что клиенту необходимо получить новый CRL со стороны CA. Вы, конечно, можете настроить срок действия CRL очень быстро, но это немного противоречит интуиции, так как полный CRL должен будет загружаться очень часто каждым клиентом.
Более подходящим решением (или, скорее, решениями, которые были созданы для этого конкретного случая) было бы опубликовать быстро истекающие дельта-списки отзыва сертификатов (чтобы клиенты могли получить очень маленький файл и при этом быть в курсе последних отзывов - возможное время задержки будет варьироваться до дельта-интервала CRL) или ответчик OCSP (который будет мгновенно получать информацию об отзыве).
Если бы вы могли реализовать одно из этих решений, я бы предложил именно это - в противном случае вы можете просто застрять с очень быстро истекающим основным списком отзыва сертификатов.