证书颁发机构 (CA) 无法真正地吊销用户的客户端证书。但是,它们可以发布一个可复制到您的计算机上的证书吊销列表 (CRL),您可以在计算机中搜索处于吊销状态的客户端证书(有关检索某个 CA 的 CRL 并将其存储在您的计算机上的详细信息,请参阅 Windows 帮助)。IIS 可使用此过程(称为“CRL 检查”)拒绝不符合 CA 有效性条件的客户端证书。CRL 将订阅客户和吊销状态与吊销原因说明放在一起。大多数 CRL 服务还包括预计发布下一个 CRL 的日期。应经常更新,以从 CA 了解订阅客户的最新状态。
CRL 检查是通过设置配置数据库属性来管理的。可以使用 COM 对象、WMI 脚本或 ADSI 脚本设置或查看控制 CRL 检查的配置数据库属性。有关对配置数据库进行配置的详细信息,请参阅配置配置数据库。
要使用 CRL,请执行以下操作:
可通过设置配置数据库属性
可通过更改配置数据库属性
可以设置配置数据库属性