В ходе миграции нашего внутреннего центра сертификации мы сначала запускаем старый сервер, чтобы позволить клиентам загружать CRl с URL-адреса, жестко закодированного в уже выданных сертификатах. Тем временем старый сервер был полностью удален, и остался лишь небольшой виртуальный веб-хост с его именем с единственной целью - доставить CRL клиентам.
Я надеюсь, что эта конструкция станет ненужной после замены всех старых сертификатов (примерно через год). Однако было бы неплохо ускорить этот процесс, например, выпуская новые сертификаты заранее, где это применимо. В конце концов, я хотел бы узнать: когда я вижу (из веб-журналов), что клиент получает CRL, я могу сделать вывод, что клиент хотел проверить действительность некоторого (старого) сертификата. Но как узнать (не в ЦС, а может быть, у клиента) который сертификат, который клиент хотел проверить?
ты не можешь знать. Вы допустили ошибку, выведя из эксплуатации старый ЦС до того, как правильно спланировали процесс миграции. Что вам нужно было сделать, так это экспортировать список активных сертификатов из базы данных выведенного из эксплуатации центра сертификации. Если у вас нет старой резервной копии ЦС, то вам не повезло. Подождите, пока не откажется какая-то служба.
Изменить: 24.07.2015
Если ваша база данных CA перенесена и доступна, вам необходимо найти сертификаты с истекшим сроком действия, выпущенные до даты изменения URL-адресов CDP.