证书或许可证信任链中的任何主体都可以吊销证书和许可证。根认证服务器可以吊销它颁发的任何证书和许可证。另外,RMS 管理员选择的第三方也可以吊销证书。
要吊销 RMS 服务器授予的证书或许可证,可以创建并分发吊销列表,然后创建要求使用该列表的权限策略模板,如下列步骤所示:
- 创建吊销列表,指定要吊销的主体。该列表是 XML 格式、符合 XrML 语法的纯文本文件。有关详细信息,请参阅本主题中稍后的“创建吊销列表”。
- 为吊销列表生成一个密钥对。然后使用专用的吊销列表签署工具,用私钥签署该文件。有关操作说明,请参阅本部分中稍后的“在吊销列表中插入签名”。应当使此过程自动化以使其定期执行,最好每天执行一次。
- 将吊销列表文件放在需要该文件的所有用户都能访问的位置。建议将该文件存放在从您的网络和 Internet 都能访问的位置,最好放在一个网站上。这可确保用户能从公司网络内部和外部访问它。
- 创建要求使用该吊销列表的权限策略模板。有关详细信息,请参阅本主题中稍后的“创建和修改权限策略模板”。
另外,您还可以吊销根认证服务器的服务器许可方证书。由于此证书是由 Microsoft 注册服务颁发的,所以 Microsoft 可以吊销根认证的服务器许可方证书。为吊销服务器许可方证书,Microsoft 将该证书添加到其吊销列表中并允许任何用户访问该列表。
此外,如果 RMS 管理员在设置时选择启用相应选项,那么第三方机构也可以吊销您的根认证服务器许可方证书。如果使用此选项,则应该使客户端可以访问由第三方机构的私钥签署并包含此服务器许可方证书的吊销列表。有关详细信息,请参阅本主题中稍后的“吊销服务器许可方证书”。
注意
执行吊销时请务必谨慎。根据所指定的刷新间隔,您必须定期更新吊销列表,否则,该吊销列表将自动过期,这样,将会影响用户使用需要该列表的内容。为确保不会无意中导致用户无法使用某些内容,请仔细估计吊销列表的刷新间隔。另外,还要确保从网络内外都可以访问吊销列表。有关详细信息,请参阅本主题中前面的“定义吊销策略”。