确定是否需要在客户端上启用证书吊销检查 (CRL)(纯模式)

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

证书吊销列表 (CRL) 是公钥基础结构 (PKI) 部署的可选组件。它是一个由证书颁发机构创建并签署的文件,包含曾经颁发但已吊销的证书列表。例如,如果已知或怀疑颁发的证书受到威胁,证书颁发机构管理员即可吊销证书。

当 CRL 与 PKI 部署一起使用时,应用程序可以检查其所使用的证书以及链接至受信任根证书的证书的吊销状态。可通过确保证书链中的所有证书是否在 CRL 中列出来以进行此检查。如果这些证书中有任何证书在 CRL 中列出,则应用程序所使用的证书即可视为无效,即使其来自受信任的源并处于其有效期内。

如果为 Configuration Manager 2007 纯模式客户端启用了证书吊销检查,则只要与下列配置为纯模式的站点系统之一进行通信,纯模式客户端都将检查 CRL:

  • 管理点

  • 未使用站点系统共享的、或配置为分支分发点的分发点

  • 软件更新点

  • 状态迁移点

重要

当客户端运行 Configuration Manager 2007 SP2 之前的版本时,作为任务序列操作的结果来运行的客户端功能将始终检查 CRL。

如果客户端正在使用证书吊销检查但无法找到 CRL,则会视作证书链中的所有证书均已被吊销,这是因为无法验证列表中是否缺少了它们。在这种情况下,所有需要证书并使用 CRL 的连接均会失败,并且 Configuration Manager 2007 客户端将向其回退状态点发送错误消息。

在每次使用证书时检查 CRL,可提供更高的安全性以避免使用已被吊销的证书,但这会导致客户端的连接延迟及附加处理。与包含在 Intranet 内部的纯模式站点相比,基于 Internet 的客户端管理可能更需要此附加安全检查。

Configuration Manager 站点中 CRL 检查的默认设置取决于该站点是以纯模式安装,还是以混合模式安装然后迁移到纯模式。如果 Configuration Manager 站点以纯模式安装,默认情况下则启用客户端的 CRL 检查;如果 Configuration Manager 站点以混合模式安装然后迁移到纯模式,默认情况下则禁用客户端的 CRL 检查。

在决定是否在客户端上启用证书吊销检查之前,应先咨询 PKI 管理员,并在满足下列两个条件的情况下再考虑在 Configuration Manager 2007 中启用此选项:

  • 您的 PKI 基础结构支持 CRL,并且该 CRL 发布在所有 Configuration Manager 2007 客户端都能找到它的位置(如果使用基于 Internet 的客户端管理,则包括 Internet 上的客户端)。

  • 与快速连接并在客户端上进行有效处理相比,更需要为连接到配置了证书的站点系统的每个连接检查 CRL,同时,检查 CRL 也比客户端因无法找到 CRL 而无法连接至服务器的风险重要。

备注

有关证书吊销的详细信息,请参阅 Windows Server 2003 产品帮助中有关管理证书吊销的章节 (https://go.microsoft.com/fwlink/?LinkId=78786)(页面可能为英文)。

默认情况下,证书吊销检查是在 IIS 中启用的,因此,如果您通过 PKI 部署来使用 CRL,则不需要在 Configuration Manager 站点系统上进行其他配置。

虽然纯模式站点系统可以吊销和检查纯模式移动设备客户端的证书,但纯模式移动设备客户端不使用证书吊销列表。

另请参阅

任务

如何阻止 Configuration Manager 客户端
如何在客户端上启用或禁用证书吊销检查 (CRL)

其他资源

部署纯模式所需的 PKI 证书

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。