服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何configurationWindows证书服务在发出证书时不使用AIA和CRL
Intereting Posts
SAS和SATA驱动器有什么优点? 思科路由器或ASA Apache反向代理通过mod_proxy_ajp不会将请求路由到Tomcat 如何设置IBM Websphere 8以在不同端口上提供Web应用程序? 重build可引导的RAID1arrays 用perl / awk / sed预加string? Rsyslog:使用Rainerscript设置日志字段 重复的文件查找器 WIFI URLredirect 每个域名一个DNS区域或全部在一个? Windows 7,32位和64位应该安装在各种机器上? 无法安装MTU = 9000的读写iSCSI 我的小networking是否需要域名? 驱动器映射会映射两个不同的文件夹,以提升和不升级程序 Amazon AWS EC2实例 – 轻量,中等和重度利用率 – 技术差异是什么?

如何configurationWindows证书服务在发出证书时不使用AIA和CRL

我在Windows Server 2008 R2虚拟机上安装了Windows证书服务,我需要做的是修改不使用AIA和CRL的证书,而只使用OCSP响应程序。 OCSP安装在运行Windows Server 2008 R2的另一个VM上,并指向CA和一个OCSP响应者证书模板。

我无法做到的是从证书中删除AIA和CRL。 有人可以帮我这个,因为我试图find? 我被告知这是可能的!

谢谢

安迪

虽然这不是一个答案,但我强烈build议在发行的证书中包含CDP扩展:

  1. 您的OCSP服务器将成为单点故障。
  2. Windows OCSP服务器是基于CRL的,因此您仍然需要为您的OCSP服务器提供CRL引用。
  3. 您应该了解一个CryptoAPI行为方面:当客户端从同一发行者(默认值为50)接收到许多证书时,CryptoAPI将停止查询OCSP并下载颁发者CRL。 这个CRL被使用,直到它过期。 CRL到期后,CryptoAPI客户端将启动OCSP使用,直到来自同一颁发者的“魔术”数量的证书面临为止。 客户将停止使用OCSP并尝试使用CRL。 如果CryptoAPI客户端达到该“魔术”号码并且CRL不可用,则证书链接引擎将为该发行者报告“撤销排除”错误。

您不应该在没有必要的情况下降低您的应用程序的可靠性,因为您认为CDP扩展并不会花费任何东西

解决了。 我所需要做的就是从AIA和CRL中删除URL。 这将停止添加到证书的属性。 所有吊销检查都是通过Oracle Access Manager从ocsp完成的。