Как я могу сбросить локальный CRL (в локальной наличности ОС) в руководстве по ОС Windows (XP, Windows 7)? Нам нужно сбросить локальный CRL, потому что в противном случае ОС будет использовать локальный CRL до периода «следующего обновления».
Как описано в «Опубликовать CRL вручную»:
Клиенты, у которых есть кэшированная копия ранее опубликованного CRL или дельта CRL, будут продолжать использовать его до истечения срока его действия, даже если был опубликован новый CRL. Публикация CRL вручную не влияет на кешированные копии списков CRL, которые еще действительны; он делает новый CRL доступным только для систем, у которых нет действующего CRL.
Из "Как работает отзыв сертификата" статья:
certutil -urlcache crl delete
Но есть предупреждение:
Может потребоваться перезапустить приложение или даже компьютер, чтобы очистить кэш CRL в Windows XP или Windows Server 2003.
Очевидно, эта команда и другие ее варианты очищают только кеш диска, но списки отзыва сертификатов также могут кэшироваться в памяти, поэтому может потребоваться перезапуск некоторых служб.
Для Windows Vista (и, предположительно, 7) предлагается лучший метод, который также должен очищать CRL, кэшированные в памяти:
certutil -setreg chain\ChainCacheResyncFiletime @now
Эта команда должна выполняться как на контроллере домена, так и на клиентском компьютере.
На контроллере домена запустить:
certutil -setreg chain\ChainCacheResyncFiletime @now
net stop certsvc
net start certsvc
На клиентской машине запустите:
certutil -setreg chain\ChainCacheResyncFiletime @now