如何設定 Windows 憑證服務以在頒發憑證時不使用 AIA 和 CRL

如何設定 Windows 憑證服務以在頒發憑證時不使用 AIA 和 CRL

我在 Windows Server 2008 R2 VM 上安裝了 Windows 憑證服務,我需要做的是將憑證修改為不使用 AIA 和 CRL,而是只使用 OCSP 回應程式。 OCSP 安裝在另一個也執行 Windows Server 2008 R2 的 VM 上,並指向 CA 和 OCSP 回應程式憑證範本。

我無法做到的是從憑證中刪除 AIA 和 CRL。有人可以幫我解決這個問題嗎,因為我試著找答案?有人告訴我這是可能的!

謝謝

安迪

答案1

雖然,這不是答案,但我強烈建議在頒發的證書中包含 CDP 擴充:

  1. 您的 OCSP 伺服器將成為單點故障。
  2. Windows OCSP 伺服器是基於 CRL,因此您仍然必須向 OCSP 伺服器提供 CRL 參考。
  3. 您應該了解 CryptoAPI 行為的一個面向:當用戶端從相同頒發者收到許多憑證(預設值為 50)時,CryptoAPI 將停止查詢 OCSP 並下載頒發者 CRL。此 CRL 將一直使用直至過期。 CRL 過期後,CryptoAPI 用戶端開始使用 OCSP,直到遇到來自同一頒發者的「神奇」數量的憑證。客戶端將停止使用 OCSP 並嘗試使用 CRL。如果 CryptoAPI 用戶端達到該「幻數」且 CRL 不可用,則憑證鏈引擎將報告該頒發者的「RevitationOffline」錯誤。

如果沒有必要,您不應該降低應用程式的可靠性,因為 CDP 擴充功能不會花費您任何費用。

答案2

解決了。我所需要做的就是從 AIA 和 CRL 中刪除 URL。這將停止將屬性新增到憑證中。所有吊銷檢查均透過 Oracle Access Manager 從 ocsp 完成。

相關內容