delta CRL过期时的PKI客户端行为

时间:2014-03-07 17:13:29

标签: certificate pki ca

我有一个内部Windows Server 2012企业根CA和几个CDP。我正在尝试确保在Windows Server 2012上运行的.NET客户端应用程序在构建证书链时不会失败,因为它作为进程的一部分使用的CRL和Delta CRL文件已过期。

到目前为止,似乎可能的解决方案是发布重叠的CRL,以延长防止基本CRL发布的故障可以根据它们杀死应用程序的时间(仍然在寻找有关详细/非理论的解释)如何做到这一点,如果你有例子,请告诉我)

另一种可能的解决方案(或甚至与重叠的CA组合)将具有长CRL发布间隔(例如2周)和短ΔCRL间隔(例如1小时)。这里的问题是 - 在这样的场景中会发生什么:

  • 客户已缓存Base和Delta CRL
  • 由于某种原因,Delta CRL无法发布到CDP,比如说6小时 - 超过Delta CRL的有效期,但是(在大多数情况下)在基础CRL到期之前

一小时左右(提供Delta CRL每小时发布一次)后,最后成功发布的Delta CRL将过期,因此唯一有效的(一段时间内)将是基本CRL。客户端是否会继续处理,因为它已缓存基本CRL?还是会失败?我发现的最接近的解释来自this old article:“如果有效的基本CRL存在且可用,但没有可用的delta或时间有效delta,则证书链接引擎会返回一个警告,表明没有delta CRL是可用”。似乎客户端应该继续处理而不是抛出异常,这是有道理的,但这是一篇非常古老的文章,我觉得对更新的东西感觉更舒服......:)

那么,底线,上述文章是否仍适用于现代系统?如果您有关于如何在Windows Server 2012企业CA上设置重叠CRL发布的任何详细信息,请分享......:)

谢谢!

0 个答案:

没有答案