已停用 CRL 下載系統原則

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

原因

對於憑證驗證,會對照憑證撤銷清單 (CRL) 檢查伺服器及用戶端憑證。如果 CRL 已過期,或是憑證出現在已撤銷清單中,則 Forefront TMG 會嘗試更新 CRL。預設會停用允許 Forefront TMG 下載 CRL 的系統原則規則。

解決方案

若要確定是使用有效且最新的 CRL 來檢查憑證,請啟用系統原則規則,方法是啟用「CRL 下載」系統原則設定群組。

當您按一下 [是] 時,便會自動啟用「CRL 下載」設定群組及它的對應系統原則規則。

或者,請執行下列步驟:

  • 在系統原則編輯器中,啟用「CRL 下載」系統原則設定群組。

請注意,系統原則規則允許從「本機主機」網路到「所有網路」的 HTTP 流量。最佳做法是,您應該強化這個系統原則,並且只指定需要用於要求您的 SSL 設定所需之 CRL 的網站,而非「所有網路」。

使用其他通訊協定也可以執行 CRL 下載,例如 LDAP 或 FTP。藉由檢視憑證的 CRL 發佈點內容,您可以看見 CRL 下載網站及用於特定憑證的通訊協定。

如果已啟用 CRL 驗證,但 Forefront TMG 卻無法擷取必要的 CRL 來驗證憑證,表示已將該憑證視為已撤銷。

顯示: