Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. PKI

Publicering av rot-CA:s certifikatåterkallningslista (CRL)

Postat avDivyansh Dwivedi 3 minuter
Publicering av rot-CA:s certifikatåterkallningslista (CRL)
Innehållsförteckning

Organisationer måste uppdatera sina Rotcertifieringsutfärdare (CA) CRL en eller två gånger om året. Denna åtgärd är viktig och nödvändig för att säkerställa att Microsoft PKI förblir operativ och betrodd. Om rot-CA:ns CRL inte publiceras i tid kan det leda till att operationen avbryts och alla processer stoppas. PKI:n skulle inte längre vara betrodd, och detta kan vara katastrofalt för operationen.

Hela PKI:n och infrastrukturen som använder dess certifikat skulle bli obrukbar, och organisationen kan drabbas av ett avbrott.

Förutsättningar

Först öppnar vi PKIView.msc och kontrollerar när rot-CA:ns CRL löper ut.

Kontrollera när rot-CA:ns CRL löper ut

Publicera CRL på rot-CA

  1. Därefter navigerar vi till rot-CA:n och öppnar kommandotolken med administratörsbehörighet.

    Navigera till rot-CA:n och öppna kommandotolken

  2. Vi kör kommandot certutil -crl för att publicera rot-CA:ns CRL. Detta kommer att publicera en ny CRL för rot-CA:n.

    Kör kommandot certutil -crl

  3. Vi öppnar sedan mappen i "C:\Windows\System32\CertSrv\CertEnroll\" för att kontrollera om CRL-filen finns.

    Kontrollera om CRL finns i CertEnroll-mappen

  4. Vi öppnar CRL-filen för att kontrollera utgångsdatumet.

    Vi öppnar CRL-filen för att kontrollera utgångsdatumet

  5. Nu ska vi kopiera filen till ett USB-minne eller en tillfällig mapp. Eftersom rot-CA:n ska vara offline rekommenderar vi att filen kan kopieras till ett USB-minne så att vi kan kopiera den till våra utfärdande CA:er och CDP servrar.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Kopiera CRL till utfärdande CA- och CDP-servrar.

Obs: Istället för att utfärda en CA kan vi också använda vilken maskin som helst som är ansluten till domänen.

  1. Vi kommer att kopiera CRL-filen till en av våra utfärdande certifikatutfärdare (eller någon annan domänansluten maskin).

    Vi kommer att kopiera CRL-filen till en av våra utfärdande certifikatutfärdare.

  2. Vi öppnar en kommandotolk med administratörsbehörighet och navigerar till mappen som innehåller CRL-filen.

    öppna cmd med administratörsrättigheter

  3. Nu ska vi köra kommandot certutil -f -dspublish “*.crl”

    kör cmd f dspublish

    Obs: I det här fallet är CA01 värdnamnet för RootCA.

  4. Därefter kopierar vi CRL:n till varje server, som fungerar som en CDP/AIA-punkt.

    kopiera crl till varje server

  5. Våra CRL-filer bör cirkuleras till alla platser som behövs för att PKI ska fungera.

Verifiering

  1. Nu ska vi navigera tillbaka till den utfärdande CA:n, uppdatera PKIView.msc och kontrollera när de nya CRL:erna löper ut.

    Kontrollera när de nya CRL:erna löper ut

    De nya datumen bör nu skilja sig från de datum vi angav i förutsättningarna.

  2. Vi öppnar nu en kommandotolk med administratörsbehörighet för utfärdande certifikatutfärdare och kör kommandot certutil -crl

    Öppna en kommandotolk med administratörsbehörighet på utfärdande certifikatutfärdare

  3. När båda är nöjda kan vi konstatera att målet är uppnått.

Slutsats

Att publicera din rot-CA:s CRL i tid är nödvändigt för att en PKI ska fungera korrekt och förbli operativ. Eftersom en organisations infrastruktur är beroende av PKI, blir det en avgörande del av organisationens verksamhet, eftersom en icke-fungerande PKI kan leda till avbrott i hela organisationen. Den här artikeln bör hjälpa organisationer att publicera sina rot-CA:s CRL utan några större hinder.

Hur kan krypteringskonsulting hjälpa till?

Krypteringskonsulttjänster erbjuder specialiserade tjänster anpassade för att identifiera sårbarheter och minska risker genom att tillhandahålla PKI-tjänsterVår strategiska vägledning anpassar PKI-lösningar till organisationens mål, vilket ökar effektiviteten och minimerar kostnaderna. Genom att samarbeta med Encryption Consulting kan organisationer frigöra den fulla potentialen hos PKI-lösningar, realisera konkreta ekonomiska fördelar samtidigt som de upprätthåller starka säkerhetsåtgärder. 

Krypteringskonsulttjänster PKIaaS erbjuder en flexibel och säker PKI-lösning skräddarsydd för dina specifika behov, med fördelar som anpassningsbara alternativ, höga säkerhetsstandarder och en lågriskhanteringsmetod. PKIaaS automatiserar nyckel- och certifikathanteringsuppgifter, vilket minskar driftskostnader och minimerar risken för mänskliga fel. Dessutom förbättrar det nätverkssynligheten genom att kräva certifikat för åtkomst. Det tar hand om att bygga PKI-infrastrukturen för att leda och hantera PKI-miljön (moln/hybrid eller lokalt) i din organisation.

CertSecure-hanterare har en omfattande uppsättning funktioner för livscykelhantering. Från identifiering och inventering till utfärdande, driftsättning, förnyelse, återkallelse och rapportering. CertSecure erbjuder en heltäckande lösning. Intelligent rapportgenerering, aviseringar, automatisering, automatisk driftsättning på servrar och certifikatregistrering lägga till lager av sofistikering, vilket gör den till en mångsidig och intelligent tillgång. 

Upptäck vår

Relaterade bloggar

Cloud-PKI-utan-att-förlora-kontrollen

Ta kontroll över moln-PKI utan att kompromissa med säkerheten

Juni 19, 2026
Certifikat Lifecycle Management

Begränsningar i AWS Certificate Manager: Där ACM inte når upp till Enterprise PKI

Juni 18, 2026
PKI

Referensguide för snabbkorrigeringar för Windows Server PKI och ADCS

Juni 3, 2026

Utforska

Fler ämnen