证书吊销失效

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。

           我发布给Web服务器一个证书，现在我在证书服务器上吊销这个证书，并且发布新吊销证书列表。可是Web服务器上的证书还是没有失效。我在Web服务器上执行更新当前证书也没有用。请问证书吊销列表过期时间是多少？如何让吊销的证书立刻失效？另外还有两个问题：

1。我想知道证书吊销列表本地缓存的过期时间是多少，而不是证书吊销列表发布间隔。以及我是否能修改证书吊销列表本地缓存的过期时间？
2。如果无法迅速使吊销证书失效，那么那些提供商业CA服务的公司，如果误批准了一份证书或批准后由于某些原因要收回，都是没有办法的，那怎么保证这些CA服务公司的权威性呢？ 

回答：这是一个我们会经常碰到也被多次问到的问题。这是因为客户端并不会马上得到新的证书吊销列表，它会一直使用本地缓存的证书吊销列表直到本地的无效为止。缓存的证书吊销列表是被应用程序的CryptoAPI 缓存在内存里的，我们没有办法手动或者通过编程清除本地缓存的证书吊销列表。并且只要本地存在有效的缓存证书吊销列表，CryptoAPI也不支持强制从证书服务器上下载新的证书吊销列表。
缓存的证书吊销列表的好处是CryptoAPI总是首先检查本地缓存的证书吊销列表，从而减少了网络流量，并且缩短了从网络检查证书吊销状态的延迟。但同时也带来您所提到的问题，客户端不会去查看新的证书吊销列表直到本地缓存过期。这就造成了如果我们在证书服务器上吊销一张证书并发布新的证书吊销列表，客户端不会自动下载新的证书吊销列表因为本地缓存的证书吊销列表还没有过期。
所以就目前的情况，我们没有办法让吊销的证书立刻失效。 谢谢您的谅解！

证书吊销列表的发布时间默认是1天到1周 （增量CRL 1天， CRL是1周）您可以用如下方法查看：
打开证书颁发机构-》右键点击吊销的证书-》属性-》 CRL发布参数
参考：
Certificate Revocation and Status Checking
http://technet.microsoft.com/en-us/library/bb457027.aspx

对您另外两个问题，

Q1: 我想知道证书吊销列表本地缓存的过期时间是多少，而不是证书吊销列表发布间隔。以及我是否能修改证书吊销列表本地缓存的过期时间？
A1. 本地缓存CRL的过期时间其实就是CRL的有效期。CRL 的有效期是证书验证者将 CRL 视为权威的时间段。只要证书验证者在其本地缓存中具有有效的 CRL，它就不会尝试从发布它的 CA 检索另一个 CRL。
CRL 的有效期是从发布期延伸而来的，期间允许进行 Active Directory 复制。在默认情况下，证书服务将发布期延长 10%（最多可加上 12 个小时）以建立有效期。因此，如果 CA 每 24 小时发布 CRL，那么有效期设置为 26.4 小时。 

更多详细内容，请参考这篇文章：
吊销证书和发布 CRL
http://technet2.microsoft.com/windowsserver/zh-chs/library/a4331df0-273b-41a3-95f5-8425d39543c72052.mspx?mfr=true
Q2: 如果无法迅速使吊销证书失效，那么那些提供商业CA服务的公司，如果误批准了一份证书或批准后由于某些原因要收回，都是没有办法的，那怎么保证这些CA服务公司的权威性呢？
A2. 商业CA公司可以采用较短的CRL 有效期 或者其它的非Windows CA 的技术； 另外Windows Server 2008引入了基于联机证书状态协议 (OCSP) 的联机响应程序来管理和分发吊销状态信息，可以实时查询证书的吊销状态。
如果您对联机证书状态协议 (OCSP) 感兴趣， 请参考：

AD CS：联机证书状态协议支持
http://technet2.microsoft.com/windowsserver2008/zh-CHS/library/99d1f392-6bcd-4ccf-94ee-640fc100ba5f2052.mspx?mfr=true
Windows Server Active Directory 证书服务循序渐进指南
http://technet2.microsoft.com/windowsserver2008/zh-CHS/library/f7dfccc0-4f65-4d6f-a801-ae6a87fd174c2052.mspx?mfr=true
马宁 微软全球技术支持中心