证书吊销列表 (CRL)，并在 IIS 5.0 经常要求的问题

Q 1： 什么是证书吊销列表 (CRL)，以及 CRL 分发点 (CDP)? A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。...

Q 1： 什么是证书吊销列表 (CRL)，以及 CRL 分发点 (CDP)?

A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。 CRL 文件还包含 CRL、 在生效的日期和下一次的更新日期的颁发者的名称。 默认情况下, 最短的 CRL 的有效期为一小时。

在 CDP 是的位置可以下载最新的 CRL。 在 CDP 通常是 CRL 分发点 字段的证书 详细信息 选项卡中列出的。 很常见列表使用不同的访问方法来确保程序，（如 Web 浏览器和 Web 服务器可以始终获取最新的 CRL 的多个 CDP。

下面是 CDP 条目的示例：

[1]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=ldap:///CN=SecTestCA1,CN=SECTESTCA1,CN=CDP,CN=Public%20Key%20Services,
CN=Services,CN=Configuration,DC=rte,DC=microsoft,
DC=com?certificateRevocationList?base?objectclass=cRLDistributionPoint

[2]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=http://sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl

[3]CRL Distribution Point            
Distribution Point Name:
Full Name:
URL=file:////sectestca1.rte.microsoft.com/CertEnroll/SecTestCA1.crl

Q 2： IIS 5.0 时检索 CRL？

在 A 2： 每个 CRL 具有生效的日期。 生效日期也称为"下一次更新"或"有效时间"。 IIS 5.0 检索 CRL，仅当以下条件之一为 True：

• 在 IIS 5.0 缓存中不包含证书的 CRL。
• 已通过在 IIS 5.0 缓存 CRL 的有效日期。

Q 3： 如果该证书中包含多个 CRL 分发点，执行 IIS 5.0 检索 CRL 从每个位置？

A 3： 没有。 使用仅第一个，或 Top，位置。 如果成功，IIS 5.0 将尝试下一个 CRL 分发点。

Q 4： 是否在每个 CRL 分发点的每个 CRL 的内容下载和合并?

A 4: 没有。 只有一个 CRL 被下载。

Q5： 是否存储在运行 IIS 5.0 的计算机上的 CRL?

A 5: 是。 但是，此 CRL 的操作的任何结果不支持 Microsoft 产品支持服务。 Q6： 如何标识 CRL? 这就是哪些扩展 CRL 文件使用？

A 6: CRL 使用.crl 扩展名。 是例如 CRL FileName [1].crl。

请注意 FileName 列在证书上 CRL 分发点。

Q7： 如果 IIS 5.0 无法找到此 CRL，则会内容发生？

A 7: 默认，IIS 5.0 如果失败无法访问证书的 CRL。 因此，多个路径和协议都使用相同的 CRL 分发点。 是例如 CRL 分发点的 URL 中使用下列协议和路径：

• HTTP
• 轻量目录访问协议 (LDAP)
• 文件

Q8： 如果无法获取有效的 CRL，内容的错误消息出现在 Web 浏览器？ 如果获取 CRL，并且该证书已吊销显示相同的错误消息吗？

A 8: 是，您收到同一错误消息在两个方案中。 您收到以下错误消息时：

HTTP 403.13 禁止： 客户端证书吊销

在的页面要求提供有效的客户端证书

Q9： 时遇到下列症状之一：

• 您使 CRL 不可用。 但是，IIS 不会检索新的 CRL，并且不会不会出现故障。
• 您吊销证书并重新发布 CRL。 但是，IIS 5.0 仍然允许通过使用吊销的证书中找到一个 Web 站点的用户。

A9: 这些情况下都与同一问题。 IIS 5.0 仍然使用没有通过其生效的日期的缓存的 CRL。 有关详细信息，请参阅"Q 2： IIS 5.0 时检索 CRL? ”。

Q10： 是否可以强制更新缓存的 CRL?

A 10: 无法强制更新缓存的 CRL。 CRL 具有到期日期。 在 CR 后，续订 CRL。

证书选择从存储区或从一个 URL 时，将所有证书都存储在缓存。 唯一的区别是缓存的证书存储的位置。 证书可以存储在以下位置：

• 内存
  
  内存中缓存所有检索到的证书。
• CA 存储区
  
  从任何 WinInet 支持 URL 检索如 HTTP、 FTP、 LDAP 和通过使用颁发机构信息访问 (AIA) 扩展的 FILE CA 中缓存的所有证书都存储。
• 本地文件系统
  
  如果检索 URL 是 LDAP: / / Ftp: / /，或以 http://、 证书或 CRL 也缓存 WinInet 的本地文件系统中。 缓存存储在文档和 Settings/ UserName Settings/Temporary Internet Files 文件夹。

有关证书以及有关缓存的其他信息，请访问下面的 Microsoft Web 站点：

http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx (http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx)

回到顶端

更多信息

Q12 ： 可以 IIS 5.0 执行"实时"CRL 检查?A12 ： 否。 IIS 5.0 使用缓存中的 CRL，直到 CRL 过期。 最小的有效期限由 Mi...

Q12 ： 可以 IIS 5.0 执行"实时"CRL 检查?

A12 ： 否。 IIS 5.0 使用缓存中的 CRL，直到 CRL 过期。 最小的有效期限由 Microsoft 证书服务发布的 CRL 的是一个的小时。 可以从要强制新的 CRL 检索缓存删除 CRL。 但是，新的 CRL 仍有相同的有效期。

回到顶端

参考

有关 Internet X.509 公钥基础结构证书和 CRL 配置文件的详细信息，请访问下面的 Internet 工程任务组 (IETF) 网站：征求意见文档...

有关 Internet X.509 公钥基础结构证书和 CRL 配置文件的详细信息，请访问下面的 Internet 工程任务组 (IETF) 网站：

征求意见文档 (RFC) 2459

http://www.ietf.org/rfc/rfc2459.txt?number=2459 (http://www.faqs.org/rfcs/rfc2459.html)

回到顶端

这篇文章中的信息适用于:

• Microsoft Internet Information Services 5.0