吊销大量证书

当吊销大量证书时(列如在解雇雇员期间),增量CRL大小可能会由于大量的项而显著增加,而且几乎所有的客户端都参考较旧的基本URL.即使在吊销证书之后立即发布新的基本CRL也会出现这种情况,直到新的基本CRL完全传播.

要解决增量CRL非常大的这种特殊情况,请在CA上执行以下步骤:

1在注册表项下修改注册表值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentcontrolSet\Services\certSvc\Configuration\<Name of CA>

----将   CRLOverlapPeriod  设为分钟.默认值为小时

----将   ClockSKewMinutes 设为1分钟.默认值为10.

2重新启动CA.

3发布新的基本CRL.基本CRL具有仅为期两分钟的CRLPropagationcComplete时间,所有后续增量CRL都要参考基本CRL

一旦完成此项,便可以将CRLOverlapPeriod和ClockSkew恢复为默认值.