Назад | Перейти на главную страницу

Каким должен быть период публикации CRL для корпоративных сред?

Я пытаюсь предложить период публикации CRL для Microsoft CA, сертификаты пользователей будут использоваться для цифровой подписи. Могут быть случаи, когда сертификат пользователя может быть отозван.

Обычно какой период нужно определить, чтобы я мог проверить этот период.

В настоящее время они установили месяц для публикации следующей CRL для s-ca

Как вы структурировали свои центры сертификации, один или несколько центров сертификации? Как быстро нужно отозвать сертификаты? Как вы используете сертификаты?

Если вы используете сертификат для аутентификации AD, в случае серьезной чрезвычайной ситуации вы можете временно отключить учетную запись, если считаете, что сертификат для этой учетной записи был скомпрометирован.

Если у вас есть автономный автономный ЦС, который выдает сертификаты только подчиненному ЦС, то период публикации для этого автономного ЦС, скорее всего, может быть довольно длинным. Вам нужно больше времени, чтобы не тратить много сил на загрузку не в сети сервер для частой публикации CRL. Вы можете выбрать более длительный период.

Если вы говорите о CA, который находится в сети и активно выдает сертификаты, я бы выбрал более короткий период. Вы не хотите, чтобы срок действия был короче, чем требуется для полной репликации вашего AD, и вы не хотите быть короче, чем время, необходимое для восстановления / восстановления вашего CA в случае отказа оборудования.

Это действительно во многом зависит от ваших конкретных требований. Если вы можете автоматизировать публикацию CRL и ваши центры сертификации надежны, то более короткий период значительно снизит вероятность использования отозванного сертификата.

Если вы еще не читали их, прочтите эти статьи Microsoft.