我正在为内部应用程序测试AD CS,但似乎遇到了CRL / delta CRL的特定问题。
基本上出于测试目的,我使用的是RDP证书(由我的CA颁发,而不是自签名)。我已撤销我的CA颁发的特定服务器的RDP证书。我手动发布了新的CRL / Delta CRL。
在工作站上我然后尝试使用RDP连接到服务器...它只是直接连接,没有警告,没有说明证书已被撤销。
我确认我可以访问CRL和delta CRL。此外,我确认我撤销的证书出现在撤销列表中。
客户端是否存在内部CRL缓存,以至于它并不总是要求CA提供更新的CRL / delta CRL?如果是,这位于何处,如何强制客户端重新下载CRL / delta CRL?
修改
好的,所以我发现使用certutil -urlcache <path> delete我可以从缓存中删除项目。但是,即使在删除整个缓存之后,RDP似乎仍然认为证书有效 - 它只是直接连接。
此外,它似乎甚至不会尝试获取新的CRL,因为在尝试使用RDP进行连接后,缓存仍为空(使用certutil -urlcache命令)