跳到主要内容

启用证书吊销检查

可启用自动检查以查找已吊销的证书,以便联机证书状态协议(OCSP)服务器阻止用户创建非安全连接。在证书颁发机构(CA)非正常颁发证书或者私钥发生泄漏的情况下,自动吊销检查很有用。

开始之前

  • 必须使用包含安全管理员权限的用户概要文件进行登录。否则,不会出现证书功能。

  • 在两个控制器上都配置 DNS 服务器,这样就可以为 OCSP 服务器使用标准域名。可从“硬件”页面执行此任务。

  • 如果要指定自己的 OCSP 服务器,必须知道该服务器的 URL。

关于本任务

执行此任务期间,可配置 OCSP 服务器,或使用证书文件中指定的服务器。OCSP 服务器确定 CA 是否已在证书的计划到期日期之前撤销了该证书,如果已撤销,则阻止用户访问站点。

  1. 选择设置 > 证书
  2. 选择可信选项卡。

    也可以从密钥管理选项卡启用吊销检查。
  3. 单击不常见任务,然后从下拉菜单选择启用吊销检查
  4. 选择我想启用吊销检查,以使复选框中显示复选标记,并且对话框中显示更多字段。
  5. (选择)可在 OCSP 响应者地址字段中输入 OCSP 响应者服务器的 URL。如果不输入地址,系统将使用证书文件中的 OCSP 服务器 URL。
  6. 单击测试地址以确保系统可建立与指定 URL 之间的连接。
  7. 单击保存

随后会发生什么?

如果存储阵列尝试连接到具有已吊销证书的服务器,将拒绝该连接,并记录一个事件。