none
Потерия производителности (замедление) Сертификационного центра (ADCA Services) (certsrv) RRS feed

  • Вопрос

  • Конфигурация Системы: 

    Виртуальная среда :

    Winbdows Server 2016 Data Center

    AD Domain - 3 контроллера  домена

    AD CA Services - 1 Сервер

    SQL availability Group  - 2 сервера  

    Описание Проблемы:  
     После  достижения  количество выпушенных сертификатов более  3 000 000 , наблюдается  резкое снижения  производительности  сервиса. 
    Размер CRL достиг 100 МБ после чего система  прекратила функционирование . Работоспособность восстановили путем снижения размера CRL , посредством  активации  отозванных сертификатов . 

    Данная состояние системы  : 
    Система функционирует. Размер базы JET SQL Database  25 GB .  Время выпуска одного сертификата  более 10 секунд .  Необходимое время выпуска  сертификата  в пределах  0.5-3 секунд .  

    Проведенная работа  :  
    Создали аналогичные сервера  и скопировали базы   SQL и  JET DB   на новые сервера. Запустили систему ,  время выпуска  одного сертификата менее  1 секунды с аналогичными базами. 

    Что Необходимо выяснить:
    Причину  замедления  времени выпуска  сертификата. 

    PS:
    Проблема появилась после  увеличения размера CRL. 

     


    29 сентября 2020 г. 7:57

Все ответы

  • Привет,

    На новой системе размер CRL такой же, как и на старом?

    Когда CRL достиг 100мг, какая ошибка была? У вас истекшие сертификаты убираются из CRL?

    Если нет, то возможно кто-то перенастройл CRL и возможно это оказывает возрастание CRL. Можете вернуть настройки по умолчанию с помощью команды:

    certutil -setreg CA\CRLFlags -CRLF_PUBLISH_EXPIRED_CERT_CRLS
    
    net stop certsvc && net start certsvc
    
    

    Посмотрите статью внизу и при воспроизведении проблемы попробуйте описанные шаги :

    Resolving Issues Starting a CA due to an Offline CRL


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    30 сентября 2020 г. 10:02
    Модератор
  • Привет. 
    -- У вас истекшие сертификаты убираются из CRL?  -- Там нет  истекших сертификатов.  Все они (HOLD)
    Ошибка такая. В системе  был лимит для СРЛ  (100 мб).  И получали ошибку связанную с ASN.1. 
    Потом эту  проблему исправили  активируя какую то часть сертификатов, но после  этого  производность упала.   
    На  данный  момент размер CRL  примерно 60 Мб  .

    5 октября 2020 г. 14:01