Список отзыва сертификатов (CRL) – это необязательный компонент развертывания инфраструктуры открытого ключа (PKI). Представляет собой файл, создаваемый и подписываемый центром сертификации и содержащий список сертификатов, которые были выданы, но затем отозваны. Сертификаты могут быть отозваны администратором центра сертификации, например в случае, если известно или подозревается, что выданный сертификат скомпрометирован.
Если при развертывании PKI используется список CRL, приложения могут проверять, не отозваны ли используемые ими сертификаты или сертификаты из цепочки к доверенным корневым центрам сертификации. Для этого проверяется, что ни один из сертификатов в цепочке не присутствует в списке CRL. Если в списке CRL указан любой из этих сертификатов, сертификат, используемый приложением, считается недействительным, даже если он поступил из доверенного источника и срок его действия не истек.
Если для клиентов Configuration Manager 2007, работающих в основном режиме, включена проверка отзыва сертификатов, они проверяют список отзыва сертификатов при каждом обмене данными с одной из указанных ниже систем сайта, настроенных для работы в основном режиме.
- Точки управления
- Точки распространения, не использующие общий
ресурс системы сайта или настроенные как точки распространения
филиала
- Точки обновления программного обеспечения
- Точки миграции состояния
 Важно! |
|---|
| Если на клиенте запущена версия ниже Configuration Manager 2007 с пакетом обновления 2 (SP2), в тех функциях клиента, которые выполняются в результате действий последовательности задач, всегда проверяется список отзыва сертификатов. |
Если для клиентов включена проверка отзыва сертификатов, но они не могут найти список отзыва сертификатов, клиенты работают так, как если бы были отозваны все сертификаты из цепочки сертификатов, потому что невозможно проверить отсутствие сертификатов в списке. При таком сценарии все соединения, требующие сертификации и использующие список CRL, не устанавливаются, и клиент Configuration Manager 2007 передает сообщение об ошибке назначенной ему резервной точке состояния.
Проверка списка отзыва сертификатов при каждом использовании сертификата обеспечивает более надежную защиту от использования отозванных сертификатов, однако приводит к задержкам связи и создает дополнительную нагрузку на вычислительные мощности клиента. Такая дополнительная проверка безопасности скорее может потребоваться для интернет-управления клиентами, а не для сайтов основного режима, находящихся в границах интрасети.
Настройка по умолчанию для проверки списка отзыва сертификатов в Configuration Manager зависит от того, был ли сайт установлен в основном режиме, или же он был установлен в смешанном режиме, а затем переведен в основной. Проверка списка отзыва сертификатов для клиентов включена по умолчанию, если сайт Configuration Manager был установлен в основном режиме, и отключена по умолчанию, если сайт Configuration Manager был установлен в смешанном режиме, а затем переведен в основной.
Перед принятием решения о том, следует ли включать на клиентах проверку отзыва сертификатов, необходимо проконсультироваться с администраторами PKI; рассматривать включение этой функции в Configuration Manager 2007 следует в том случае, если выполняются оба следующих условия.
- Инфраструктура PKI поддерживает список CRL, и
этот список публикуется в месте, доступном для всех клиентов
Configuration Manager 2007 (включая клиентов в Интернете, если
используется интернет-управление клиентами).
- Необходимость проверки списка CRL для каждого
подключения к системе сайта с настроенным сертификатом важнее
требований к скорости соединения и эффективности обработки на
клиенте, а также важнее возникающей опасности того, что клиенты не
смогут подключаться к серверам, если список CRL будет
недоступен.
 Примечание |
|---|
| Дополнительные сведения об отзыве сертификатов см. в разделе справки Windows Server 2003, посвященном управлению отзывом сертификатов (http://go.microsoft.com/fwlink/?LinkId=78786). |
В IIS проверка отзыва сертификатов включена по умолчанию, поэтому при использовании списка CRL с развертыванием PKI дополнительная настройка систем сайта Configuration Manager не требуется.
Клиенты мобильных устройств основного режима не используют списки отзыва сертификатов, но их сертификаты могут отзываться и проверяться системами сайта основного режима.