我正在尝试为Microsoft CA提供CRL发布期,用户证书将用于数字签名。可能会有用户证书可能被吊销的情况。
通常是什么时间来定义,以便我可以在那个时期检查。
目前他们已经把它设置为一个月来发布s-ca的下一个crl
您是如何构build您的CA,单个CA或多个CA的? 您需要多久才能吊销证书? 你如何使用证书?
如果您使用证书进行AD身份validation,则在发生严重紧急情况时,如果您认为该帐户的证书已被泄露,则可以临时禁用该帐户。
如果您有一个仅向下级CA颁发证书的独立脱机CA,那么脱机的发布期最有可能会相当长。 您需要更长的时间,因此您不必花费大量的时间启动离线服务器来频繁发布CRL。 你可以select一个更长的时间。
如果您在谈论在线CA并积极颁发证书,我会花更短的时间。 如果硬件出现故障,您不希望将有效期缩短到完全复制您的AD,并且您不希望缩短重build/恢复CA的时间。
这确实取决于你的确切要求。 如果您可以自动执行CRL发布,并且您的CA是可靠的,那么更短的时间将使撤销的证书不太可能被使用。
如果您还没有阅读,请参阅这些Microsoft文章。