none
直接移除企業根ca 的影響 RRS feed

  • 問題

  • 請教大家:
    如果網域中的企業根CA在還沒有撤銷發出去的憑證之前就直接從控制台的新增移除程式移除,那麼請問已經發出去的網站伺服器憑證還能夠繼續使用到期限到期的那天嗎?
    2009年6月1日 上午 06:29

解答

  • 我使用IIS搭配CA發的憑證進行https的設定後
    然後將根CA移除..再去看該網站..沒有什麼異常..看起來應該是可以使用到過期

    不過不建議這樣做..在移除CA之前還是建議將憑證進行撤銷的動作

    如何解除委任 Windows 企業憑證授權單位,以及如何從 Windows Server 2003 和 Windows 2000 Serve 移除所有相關物件
    http://support.microsoft.com/kb/889250
    • 已提議為解答 Vincent Lin 2009年6月4日 上午 02:20
    • 已標示為解答 Vincent Lin 2009年6月5日 上午 10:53
    2009年6月2日 上午 08:00

所有回覆

  • 我使用IIS搭配CA發的憑證進行https的設定後
    然後將根CA移除..再去看該網站..沒有什麼異常..看起來應該是可以使用到過期

    不過不建議這樣做..在移除CA之前還是建議將憑證進行撤銷的動作

    如何解除委任 Windows 企業憑證授權單位,以及如何從 Windows Server 2003 和 Windows 2000 Serve 移除所有相關物件
    http://support.microsoft.com/kb/889250
    • 已提議為解答 Vincent Lin 2009年6月4日 上午 02:20
    • 已標示為解答 Vincent Lin 2009年6月5日 上午 10:53
    2009年6月2日 上午 08:00
  • 剛才看了http://support.microsoft.com/kb/889250 ,其中步驟2有提到

    "注意「憑證撤銷清單」(CRL) 的存留時間必須比已撤銷憑證剩餘的存留時間還長。"

    請問,這是什麼意思?

    2009年6月2日 上午 11:18
  • 查了一下..大概是下面這樣

    --------------------------------------------------------------
    憑證撤銷清單(CRL)會有一個存留時間..可以算是有效時間
    存留時間的長度則是公佈時間在延長10% .. 假設CRL公佈間隔是24小時..存留時間就是26.4小時

    既然要將CA移除..所以表示他之前發放的CA都是無效的(所以要進行撤銷動作)
    不過撤銷後..直到過期日期之前..如果沒有發佈CRL或是CRL過期之後..被撤銷的憑證還是有效的
    所以那篇KB的步驟二..就是要增加CRL發佈的間隔(增加CRL存留時間)

    假設憑證發出日期到過期的期限是2年
    你的CRL發佈建隔就可以設定為2年..(CRL存留時間則會超過2年)
    這樣一來..在CRL的存留時間內..該憑證一定會過期..且一直是保持在被撤銷的狀態
    --------------------------------------------------------------

    參考資料
    撤銷憑證與公佈 CRL
    http://technet.microsoft.com/zh-tw/library/cc782162.aspx
    2009年6月3日 上午 07:24