我知道我们可以使用证书颁发机构UI来清除Windows Server 2008中的CRLcaching。 但是,我想自动化这个过程,因此想要从命令行中find一个方法。 是否有可能在Windows中使用certutil或任何其他默认实用程序?
问候,
安迪
为了获得客户端caching刷新,CRL需要到期 – 无法“推送”客户需要从CA端获得新CRL的通知。 您当然可以将CRL设置为非常快速过期,但这有点违反直觉,因为每个客户端都需要经常下载完整的CRL。
一个更合适的解决scheme(或者说,本质上是针对这个特定情况构build的解决scheme)是发布快速到期的增量CRL(这样客户可以抓取一个非常小的文件,并且与最近的撤销一样是最新的 – 潜在的延迟时间将达到增量CRL间隔)或OCSP响应者(其将立即具有撤销信息)。
如果您可以实施其中一种解决scheme,那么我build议这样做 – 否则,您可能只是被一个非常快到期的主CRL卡住了。