Par défaut, l'autorité de certification enregistre toutes les listes de révocation qui n'ont pas encore expiré dans la base de données de l'autorité de certification.
Dans certaines circonstances, par exemple à cause d'un script mal configuré, de très nombreuses listes de blocage sont ainsi enregistrées dans la base de données, ce qui peut entraîner une croissance correspondante de la base de données (par exemple si de grandes listes de blocage sont recréées très souvent).
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Schéma de base de données pour la table de liste de blocage
Pour effectuer des requêtes par rapport à la table CRL de la base de données des autorités de certification, il faut d'abord identifier les champs de la base de données dont on a besoin. Cela peut se faire à l'aide de la commande suivante :
certutil -schema CRL
Lister les listes de blocage dans le tableau des listes de blocage
Un aperçu des listes de blocage conservées dans le tableau CRL peut alors être obtenu par exemple avec la commande suivante :
certutil -view -out "CRLNumber,CRLThisUpdate,CRLNextUpdate" CRL csv
Suppression d'entrées de la table de liste de blocage
Une liste de blocage peut être supprimée de la base de données des autorités de certification en indiquant le numéro de la liste de blocage à l'aide de la commande de ligne de commande suivante.
certutil -deleterow {CRL-Nummer} CRL
Déterminer et modifier le comportement de stockage pour les listes de blocage
L'option "Supprimer les listes de révocation expirées de la base de données de l'autorité de certification" (par défaut) détermine si l'autorité de certification supprime ou non les listes de révocation expirées. CRLF_DELETE_EXPIRED_CRLS à l'intérieur de la valeur de registre CRLFlags. Celle-ci peut être déterminée à l'aide de la commande suivante.
certutil -v -getreg CA\CRLFlags
Cette commande permet de désactiver la suppression des listes de révocation expirées de la base de données des autorités de certification :
certutil -setreg CA\CRLFlags -CRLF_DELETE_EXPIRED_CRLS
Cette commande permet de réactiver la suppression des listes de blocage expirées de la base de données des autorités de certification :
certutil -setreg CA\CRLFlags +CRLF_DELETE_EXPIRED_CRLS
Les modifications ne seront actives qu'après un redémarrage du service d'autorité de certification.
Français 
Deutsch 
English
Les commentaires sont fermés.