certutilコマンドを使用してWindowsServer 008のCRLキャッシュをクリアするにはどうすればよいですか?
証明機関のUIを使用して、Windows Server2008のCRLキャッシュをクリアできることはわかっています。ただし、プロセスを自動化したいので、コマンドラインからそれを行う方法を探しています。 Windowsでcertutilまたはその他のデフォルトユーティリティを使用することは可能ですか?
よろしく、
アンディ
クライアントキャッシュを更新するには、CRLの有効期限が切れている必要があります。クライアントがCA側から新しいCRLを取得する必要があるという通知を「プッシュ」する方法はありません。確かにCRLを非常に早く期限切れにするように設定できますが、すべてのクライアントが完全なCRLを頻繁にダウンロードする必要があるため、これは少し直感に反します。
より適切な解決策(または、本質的にこの特定のケースのために構築された解決策)は、期限切れの速いデルタCRLを公開することです(クライアントが非常に小さなファイルを取得し、最近の失効を最新の状態に保つことができるように-潜在的な遅延時間デルタCRL間隔までの範囲)またはOCSPレスポンダー(失効情報を即座に取得します)。
これらのソリューションの1つを実装することが可能である場合は、それをお勧めします。そうでない場合は、非常に迅速に期限切れになるメインCRLでスタックする可能性があります。