Информация на тему от Microsoft (на русском):
Из Technet, раздел Windows Server 2003:
http://technet.microsoft...ary/cc738468(WS.10).aspxИз Technet, раздел Windows Server 2008:
http://technet.microsoft...ary/cc731104(WS.10).aspxИз [MS-CSRA] Certificate Services Remote Administration Protocol Specification:
http://msdn.microsoft.co...26763(PROT.10).aspx#id41Наиболее интересен алгоритм вычисления Config.Base.CRL.Overlap.Period в последней статье, из которой следует, что период CRL.Overlap.Period не может быть больше периода CRL.Validity.Period.
При реализации Крипто-Про УЦ 1.4 у нас было желание расширить функциональность службы сертификации Microsoft, добавив возможность публикации CRL по расписанию, оставив остальные алгоритмы в неизменном виде. Т.к. спецификация [MS-CSRA] на тот момент еще не была доступна, то есть небольшие расхождения в алгоритме вычисления сроков действия CRL между нашим модулем публикации и встроенным в оригинальную службу сертификатов MS, но в целом алгоритм соблюдается достаточно точно. В описанном вами примере как раз наблюдается небольшое отличие нашей реализации от MS, наша реализация вычисляет период перекрытия, равный периоду CRL, т.е. 24 часам, а реализация Microsoft должна была получить 12 часов (т.е. у нас даже больше, чем у MS). Мы даже подумываем, не привести ли алгоритм в соответстве с MS.
Период перекрытия задуман в Microsoft как время, необходимое на ручные или полуавтоматические действия по доставке CRL в пункт CDP.
Здравый смысл подсказывает не делать период публикации очень большим, иначе теряется весь смысл частого обновления CRL, т.к. пока новый список 4 дня доставляется в CDP (на оленях видимо
) все пользователи вынужены пользоваться почти истекшим списком, срок действия которого почти подошел к концу. Т.о. вся сеть пользователей, фактически, работает на истекших CRL.
Маловероятно, что дело именно в долгом механизме доставки CRL в CDP (не курьеры же их возят). Скорее всего, при помощи этого параметра есть желание решить какую-то другую организационную проблему. Например, механизм публикации CRL по времени, который реализован в нашем УЦ, позволяет решить проблему наличия выходных и праздников у сотрудников, ответственных за выпуск и транспортировку CRL в пункт CDP (для этого он и был придуман). Расписание может помочь закрыть УЦ на плановое обслуживание (например, с 1 по 7 января) без остановки сети пользователей (CRL будет доступен все время).
Если есть подобные проблемы, давайте попробуем решить их в вместе другим способом, но позволять сроку перекрытия стремиться к бесконечности, я думаю, совершенно неправильно (все может кончиться CRL, действующими год).