如何吊销和替换颁发 CA 证书
更新日期: 2004年04月06日
http://www.microsoft.com/china/technet/security/guidance/secmod187.mspx
目标
使用本模块可以实现:
•
吊销颁发 CA 证书。
•
替换颁发 CA 证书。
适用范围
本模块适用于下列产品和技术:
•
Microsoft® Windows® Server™ 2003
•
Microsoft 证书服务
•
Microsoft Active Directory® 目录服务
[url=http://www.microsoft.com/china/technet/security/guidance/secmod187.mspx#top]
如何使用本模块
本模块描述了吊销和替换颁发 CA 证书所需的步骤。可以将本模块中的指导用于现有公钥基础结构 (PKI)。
为了充分理解本模块内容,请首先阅读“Microsoft 安全无线局域网解决方案构建指南”中的模块实施公钥基础结构。这将使您更好地理解 PKI 的构建。
摘要
本模块描述了管理 PKI(作为安全无线 LAN (WLAN) 解决方案的一部分实现)所需的操作过程。
本任务包括颁发 CA 证书的吊销和替换。如果 CA 的私钥以某种方式泄漏(或怀疑泄漏),则应该吊销 CA 证书,并颁发使用新密钥对的新 CA 证书。
[url=http://www.microsoft.com/china/technet/security/guidance/secmod187.mspx#top]
吊销和替换颁发 CA 证书
因为根 CA 的 CRL 发布期很长,只是吊销 CA 证书并发布新的 CRL 会导致在吊销和证书用户收到吊销通知之间存在很长时间的延迟。为了确保泄漏的 CA 所颁发的所有证书都尽可能快地被拒绝,还应单独吊销该 CA 颁发的所有证书。
要点:所有证书用户都必须重新注册新证书。
•
吊销颁发 CA 证书
1.
以 Certificate Managers 组成员的身份登录颁发 CA,然后打开证书颁发机构管理控制台。
2.
选择“颁发的证书”文件夹中的所有证书,然后在“所有任务”菜单中单击“吊销证书”。选择“CA 泄漏”作为原因代码。
3.
加大 CRL 发行间隔以便与 CA 证书的剩余寿命相匹配。这可以确保它绝对长于该 CA 已颁发的所有证书的剩余寿命。
4.
如果已经选择了“发布增量 CRL”复选框,请清除它。
5.
在“吊销的证书”文件夹的“所有任务”菜单中,单击“发布”,然后单击“新的 CRL”。
6.
以 Certificate Managers 组成员的身份登录到根 CA,然后打开证书颁发机构管理控制台。
7.
在“颁发的证书”文件夹中找到要吊销的 CA 证书,然后在“所有任务”菜单上单击“吊销证书”。选择“密钥泄漏”作为原因代码。
8.
遵循如何发布脱机 CRL 和 CA 证书中描述的过程进行操作(可以忽略该过程中的 CA 证书发布部分)。
9.
返回到颁发 CA,然后遵循如何使用同一密钥续订颁发 CA 证书中描述的过程进行操作。
证书用户现在可以使用新的 CA 重新注册。自动注册证书应该进行自动注册。
