Windows 2008之PKI实战4:吊销

　　缓存条目被允许。该缓存作为响应程序的ISAPI扩展的一部分部署，它只是内存中的缓存。推荐的缓存大小介于1,000 和 10,000 。最小的缓存条目允许是5。对于任何小于5的数字，在线响应程序将把它看作默认的5。小的缓存值将引起更多的缓存故障，并将导致响应程序的查找和签名操作的高负载；大的缓存值将影响在线响应程序的内存使用。如果CA证书被用来签名响应，内存中缓存条目的大小大约是200字节；如果委派的签名者证书被用于签名响应，内存中缓存条目的大小大约是2K字节。

　　为了遵守通用标准来加强证书颁发系统的安全性，同时提供一个安全的平台，某些特定的时间和配置设置被记录到Windows 安全事件日志中。在线响应程序允许配置下面的审计事件，如图40所示。

　　" 启动/停止在线响应程序服务。每次启动/停止ocspsvc.exe服务的事件将被记录。

　　" 对在线响应程序配置的更改。所有在线响应程序配置的更改，包括审计设置更改，将被记录在安全日志中。

　　" 对在线响应程序安全设置的更改。对在线响应程序服务请求和管理接口ACL的所有更改将被记录在安全日志中。

　　" 提交给在线响应程序的请求。所有被在线响应程序服务处理的请求将被记录在安全日志中。该选项在服务上创建了一个高负载，应该针对具体的环境做出评估。只有那些要求在线响应程序签名操作的请求将生成和审计事件；对于前面缓存响应的请求将不会被记录。

　　在线响应程序的安全设置包括两个新的访问控制实例，它们能够被设置允许或拒绝用户和服务访问请求和管理接口、代理请求。如图41所示。在线响应程序暴露一个请求接口，它允许在线响应程序Web Proxy组件提交证书状态请求给在线响应程序服务。该接口不会被终端客户端使用。

　　管理OCSP响应程序。在线响应程序暴露一个管理接口，它提供了执行管理任务的能力，象创建和管理吊销配置，以及修改响应程序的全局设置。吊销可以通过两种方法来完成，要么手动通过MMC要么通过OCSP响应程序服务。

　　我们将从CA MMC 中吊销一张证书。在CA树下有一个已经颁发证书的文件夹。前面我们颁发的证书显示在该文件夹。我们现在能够手动吊销该证书。这将强制我们重新注册该证书。

　　在吊销的时候我们将被询问吊销的原因。在该演示中，我们将持有该证书因此我们可以撤回吊销。如图42所示。如果一张证书使用其他的原因而非Hold被吊销的话，那么该证书的吊销不能被撤回。

　　该证书已经被移动到吊销证书文件夹中。从吊销证书文件夹，我们能够撤回该证书的吊销。如图43所示。在证书被吊销的期间，客户端不能加密或解密发送给和来自它的信息。我们仍可以查看证书的信息，如果需要的话。我们将撤回该证书的吊销，将它返回到一个活动的状态。