| Более того, для корневого ЦС, которому подчиняются только дваЦС, может |
| Более того, для корневого ЦС, которому подчиняются только дваЦС, может быть, лучше публиковать CRL каждые 3 месяца. Вамнадо лишь побеспокоиться о клиентах, использующих устаревшуюкэшированную версию CRL уже после того, как CRL фактическиизменился.• Гарантируйте доступность CRL. Если в сети действует Active Direc tory, убедитесь, что каждый CRL содержит LDAP-точку публикации. Тогда CRL будет доступен с любого контроллера домена алесу. CRL хранятся в контексте именования конфигурации, который реплицируется на все контроллеры домена в лесу. Также укажите дополнительные HTTP- или FTP-сслыки для CRL.• Убедитесь, что CRL доступны внешним клиентам, если они получают сертификаты из внутренней сети. Если клиенты аутентифицируются по сертификатам, изданным внутренним ЦС, CRL должен публиковаться на ресурсе, доступном извне. Решите, использовать ли точки публикации HTTP или FTP для CRL, чтобы гарантировать внешнюю доступность. Если CRL недоступен, приложение может решить, что сертификат был отозван.• Убедитесь, что CRL доступны. Должен быть доступен не толькоCRL для ЦС, издавшего сертификат, но и CRL для каждого ЦС вцепи до корневого ЦС, чтобы гарантировать, что ни один из сертификатов данного ЦС не был отошан. Если CRL хотя бы одногоЦС недоступен, сертификат может быть отвергнут.Внедрение решенияКомпания Blue Yonder Airlines нужна доступность CRL для всех ЦС,связанных с ЦС Enrollment. Пользователям смарт-карт нужно, чтобыCRL для корневого ЦС Blue Yonder, ЦС клиентов и ЦС смарт-картбыли доступны на общественном Web-узле, чтобы гарантироватьбыли доступны на общественном Web-узле, чтобы гарантировать |
Опубликовал vovan666
March 27 2013 10:36:09 ·
0 Комментариев ·
3567 Прочтений ·
|
|
Главная
Каталог файлов
