Manage certificate revocation list
Je nach Konfiguration werden nur gesperrte Zertifikate in die ausgestellte Sperrliste eingetragen.
Wenn es einen Grund dafür gibt auch abgelaufene Zertifikate in die Sperrliste einzutragen, dann wird das mit diesem Befehl umgesetzt.
# Aktivieren
certutil -setreg CA\CRLFlags +CRLF_PUBLISH_EXPIRED_CERT_CRLS
net stop certsvc & net start certsvc
# Deaktivieren
certutil -setreg ca\CRLFlags –CRLF_PUBLISH_EXPIRED_CERT_CRLS
# Der Eintrag lässt sich wie folgt prüfen
certutil -getreg ca\CRLFlags
certutil -getreg policy\EditFlags
# In der Registrierung finden wir die Konfiguration an dieser Stelle
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CaName
# Sperrlisteneinträge anzeigen lassen
certutil -view -out “CRLThisPublish,CRLNumber,CRLCount” CRL
Sollte diese Anforderung durch den Compliancemanager erfolgt sein, z.B. auf Basis einer regulatorischen Anforderung, dann sollte man wissen, das die Sperrliste je nach Umfang sehr schnell anwachsen wird.
In der Regel entspricht eine Sperrliste mit einer Dateigröße von ca. 2,5 MB Größe 50.000 Zertifikate.