Abgelaufene Zertifikate in die Sperrliste aufnehmen

Abgelaufene Zertifikate in die Sperrliste aufnehmen

Manage certificate revocation list

Je nach Konfiguration werden nur gesperrte Zertifikate in die ausgestellte Sperrliste eingetragen.

Wenn es einen Grund dafür gibt auch abgelaufene Zertifikate in die Sperrliste einzutragen, dann wird das mit diesem Befehl umgesetzt.

Abgelaufene Zertifikate in die Zertifikatssperrliste eintragen

Abgelaufene Zertifikate in die Sperrliste aufnehmen

# Aktivieren
certutil -setreg CA\CRLFlags +CRLF_PUBLISH_EXPIRED_CERT_CRLS
net stop certsvc & net start certsvc

# Deaktivieren
certutil -setreg ca\CRLFlags CRLF_PUBLISH_EXPIRED_CERT_CRLS

# Der Eintrag lässt sich wie folgt prüfen
certutil -getreg ca\CRLFlags
certutil -getreg policy\EditFlags

Abgelaufene Zertifikate in die Zertifikatssperrliste eintragen

# In der Registrierung finden wir die Konfiguration an dieser Stelle
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CaName

# Sperrlisteneinträge anzeigen lassen
certutil -view -out “CRLThisPublish,CRLNumber,CRLCount” CRL

Sollte diese Anforderung durch den Compliancemanager erfolgt sein, z.B. auf Basis einer regulatorischen Anforderung, dann sollte man wissen, das die Sperrliste je nach Umfang sehr schnell anwachsen wird.

In der Regel entspricht eine Sperrliste mit einer Dateigröße von ca. 2,5 MB Größe 50.000 Zertifikate.