通过配置证书撤消检查,可以阻止已撤消用户证书的用户通过智能卡进行身份验证。当用户离开组织、丢失智能卡或从一个部门调往另一个部门时,其证书通常会被撤消。
Horizon 7 支持通过证书撤消列表 (Certificate Revocation List, CRL) 和联机证书状态协议 (Online Certificate Status Protocol, OCSP) 进行证书撤消检查。CRL 是由颁发证书的 CA 发布的吊销证书列表。OCSP 是一种证书验证协议,用于获取 X.509 证书的撤消状态。
您可以在连接服务器实例或安全服务器上配置证书撤消检查。如果连接服务器实例与安全服务器配对,则您要在安全服务器上配置证书撤消检查。CA 必须能够从连接服务器或安全服务器主机上访问。
您可以在同一个连接服务器实例或安全服务器上配置 CRL 和 OCSP。如果您配置了两种类型的证书撤消检查,Horizon 7 会首先尝试使用 OCSP 检查,如果 OCSP 检查失败,则转而进行 CRL 检查。如果 CRL 失败,Horizon 7 不会改用 OCSP。