在Windows中,cmd,使用指令「certutil -url <cert path>」,可以從該憑證中抓取資訊,像是AIA、CRL、OCSP等,然後檢查該憑證的狀態,是否被註銷等。
憑證一旦發出去,直到效期結束之前,都是有效的狀態。如果因為其他原因註銷,就需要使用其他途徑,經過查詢,使用者才能知道這憑證現在的註銷狀態。
Certificate Revocation List(CRL)是一列清單,上面列著被註銷的憑證序號。只要檢查到憑證序號在此清單中,就會被認定為失效。
不過CRL的缺點就是更新速度太慢,沒有辦法馬上即時反應。最小更新時間單位是小時,註銷之後必須等到更新CRL才會有反應。
Online Certificate Status Protocol(OCSP),能直接詢問單一張憑證的狀態,然後收到狀態的回應,就能做到即時的管控。
在進行OCSP設定時,我們希望能馬上看出設定到底有沒有用,身為IT就需要一點工具。
幸好Windows有個簡易的工具「certutil」,我們可以利用這個很快檢測OCSP設定是否正常。
以下以一張被註銷的憑證示範:
檢查一張憑證,內部具有OCSP的URL。
cmd 使用 certutil -url <cert path>
抓取選擇「OCSP」,然後按下「抓取」,就能得到回應。