Назад | Перейти на главную страницу

Как настроить службы сертификации Windows, чтобы не использовать AIA и CRL при выдаче сертификатов

У меня есть служба сертификатов Windows, установленная на виртуальной машине Windows Server 2008 R2, и что мне нужно сделать, так это изменить сертификаты, чтобы НЕ использовать AIA и CRL, а ТОЛЬКО использовать OCSP Responder. OCSP установлен на другой виртуальной машине, также работающей под управлением Windows Server 2008 R2, и указывает на ЦС и шаблон сертификата ответчика OCSP.

Что мне не удалось сделать, так это удалить AIA и CRL из сертификатов. Может ли кто-нибудь помочь мне с этим, поскольку я пытался найти это? Мне сказали, что это возможно!

Спасибо

Энди

Хотя это не ответ, но я настоятельно рекомендую включить расширение CDP в выданные сертификаты:

  1. ваш сервер OCSP будет единственной точкой отказа.
  2. Сервер Windows OCSP основан на CRL, поэтому вам все равно придется предоставлять ссылки CRL на сервер OCSP.
  3. вы должны знать об одном аспекте поведения CryptoAPI: когда клиент получает много сертификатов от одного и того же эмитента (значение по умолчанию 50), CryptoAPI прекращает запрос OCSP и загружает CRL эмитента. Этот CRL используется до истечения срока его действия. После истечения срока действия CRL клиент CryptoAPI начинает использование OCSP до тех пор, пока не встретится «магическое» количество сертификатов от того же эмитента. Клиент перестанет работать с OCSP и попытается использовать CRL. Если клиент CryptoAPI достигает этого «магического» числа, а CRL недоступен, механизм цепочки сертификатов сообщит об ошибке «RevocationOffline» для этого эмитента.

Вы не должны без необходимости снижать надежность вашего приложения, считая, что расширение CDP вам ничего не стоит.

Решено. Все, что мне нужно было сделать, это удалить URL-адрес из AIA и CRL. Это останавливает добавление атрибутов к сертификату. Все проверки отзыва выполняются из ocsp через Oracle Access Manager.