 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 1
I. Gii thiu
Ngày nay, vic giao tip qua mng Internet ang tr thành mt nhu cu cp thit.
Các thông tin truyn trên mng u rt quan trng, nh mã s tài khon, thông tin
t... Tuy nhiên, vi các thn tinh vi, nguy c bn cp thông tin qua mng cng
ngày càng gia tng. Hin giao tip qua Internet ch yu s dng giao thc TCP/IP.
ây là giao thc cho phép các thông tin c gi t máy tính này ti máy tính khác
thông qua mt lot các máy trung gian hoc các mng riêng bit. Chính u này ã
o c hi cho nhng ''k trm'' công ngh cao có th thc hin các hành ng phi
pháp. Các thông tin truyn trên mng u có th b nghe trm (Eavesdropping), gi
o (Tampering), o danh (Impersonation) .v.v. Các bin pháp bo mt hin nay,
chng hn nh dùng mt khu, u không m bo vì có th b nghe trm hoc b dò
ra nhanh chóng.
Do vy,  bo mt, các thông tin truyn trên Internet ngày nay u có xu hng
c mã hoá. Trc khi truyn qua mng Internet, ngi gi mã hoá thông tin, trong
quá trình truyn, dù có ''chn'' c các thông tin này, k trm cng không thc
c vì b mã hoá. Khi ti ích, ngi nhn s s dng mt công cc bit  gii
mã. Phng pháp mã hoá và bo mt ph bin nht ang c th gii áp dng là
chng ch s (Digital Certificate). Vi chng ch s, ngi s dng có th mã hoá
thông tin t cách hiu qu, chng gi mo (cho phép ngi nhn kim tra thông tin
có b thay i không), xác thc danh tính ca ngi gi. Ngoài ra chng ch s còn là
ng chng giúp chng chi cãi ngun gc, ngn chn ngi gi chi cãi ngun gc
tài liu mình ã gi.
Mt cách mã hóa d liu m bo an toàn ó là mã hóa khóa công khai. 
 dng c cách mã hóa này, cn phi có mt chng ch s t t chc qun trc
i là nhà cung cp chng ch s ( certification authority – CA).
II. C s h tng khóa công khai
II.1 Khái nim
t PKI (public key infrastructure) cho phép ngi s dng ca mt mng công
ng không bo mt, chng hn nh Internet, có th trao i d liu và tin mt cách

an toàn thông qua vic s dng mt cp mã khoá công khai và cá nhân c cp phát
và s dng qua mt nhà cung cp chng thc c tín nhim. Nn tng khoá công
khai cung cp mt chng ch s, dùng  xác minh mt cá nhân hoc t chc, và các
ch v danh mc có th lu tr và khi cn có th thu hi các chng ch s. Mc dù
các thành phn c bn ca PKI u c ph bin, nhng mt s nhà cung cp ang
mun a ra nhng chun PKI riêng khác bit. Mt tiêu chun chung v PKI trên
Internet cng ang trong quá trình xây dng.
t c s h tng khoá công khai bao gm:
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 2
• t Nhà cung cp chng thc s (CA) chuyên cung cp và xác minh các
chng ch s. Mt chng ch bao gm khoá công khai hoc thông tin v
khoá công khai.
• t nhà qun lý ng ký (Registration Authority (RA)) óng vai trò nh
ngi thm tra cho CA trc khi mt chng ch sc cp phát ti ngi
yêu cu.
• t hoc nhiu danh mc ni các chng ch s (vi khoá công khai ca nó)
c lu gi, phc v cho các nhu cu tra cu, ly khoá công khai ca i
tác cn thc hin giao dch chng thc s.
• t h thng qun lý chng ch.
II.2 Nhà cung cp chng thc s CA (Certificate Authority)
Trong các h thng qun lý chng thc sang hot ng trên th gii, Nhà cung
p chng thc s (Certificate authority - CA) là mt t chc chuyên a ra và qun
lý các ni dung xác thc bo mt trên mt mng máy tính, cùng các khoá công khai
 mã hoá thông tin. Là mt phn trong C s h tng khoá công khai (public key
infrastructure - PKI), mt CA s kim soát cùng vi mt nhà qun lý ng ký
(Registration authority - RA)  xác minh thông tin v mt chng ch s mà ngi
yêu cu xác thc a ra. Nu RA xác nhn thông tin ca ngi cn xác thc, CA sau
ó sa ra mt chng ch.
Tu thuc vào vic trin khai c s h tng khoá công khai, chng ch s s bao

m khoá công khai ca ngi s hu, thi hn ht hiu lc ca chng ch, tên ch s
u và các thông tin khác v ch khoá công khai.
II.3 Chng ch s
II.3.1 Khái nim
Chng ch s là mt tp tin n t dùng  xác minh danh tính mt cá nhân, mt
máy ch, mt công ty... trên Internet. Nó ging nh bng lái xe, h chiu, chng minh
th hay nhng giy t xác minh cá nhân.
 có chng minh th, bn phi c c quan Công An s ti cp. Chng ch s
ng vy, phi do mt t chc ng ra chng nhn nhng thông tin ca bn là chính
xác, c gi là Nhà cung cp chng thc s (Certificate Authority, vit tt là CA).
CA phi m bo v tin cy, chu trách nhim v chính xác ca chng ch s
mà mình cp.
Trong chng ch s có ba thành phn chính:
• Thông tin cá nhân ca ngi c cp.
• Khoá công khai (Public key) ca ngi c cp.
• Ch ký s ca CA cp chng ch.
• Thi gian hp l.
Thông tin cá nhân
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 3
ây là các thông tin ca i tng c cp chng ch s, gm tên, quc tch, a
ch, n thoi, email, tên t chc .v.v. Phn này ging nh các thông tin trên chng
minh th ca mi ngi.
Khoá công khai
Trong khái nim mt mã, khoá công khai là mt giá trc nhà cung cp chng
cha ra nh mt khoá mã hoá, kt hp cùng vi mt khoá cá nhân duy nht c
o ra t khoá công khai  to thành cp mã khoá bt i xng.
Nguyên lý hot ng ca khoá công khai trong chng ch s là hai bên giao dch
phi bit khoá công khai ca nhau. Bên A mun gi cho bên B thì phi dùng khoá
công khai ca bên B  mã hoá thông tin. Bên B s dùng khoá cá nhân ca mình 

 thông tin ó ra. Tính bt i xng trong mã hoá th hin  ch khoá cá nhân có
th gii mã d liu c mã hoá bng khoá công khai (trong cùng mt cp khoá duy
nht mà mt cá nhân s hu), nhng khoá công khai không có kh nng gii mã li
thông tin, k c nhng thông tin do chính khoá công khai ó ã mã hoá. ây là c
tính cn thit vì có th nhiu cá nhân B,C, D... cùng thc hin giao dch và có khoá
công khai ca A, nhng C,D... không th gii mã c các thông tin mà B gi cho A
dù cho ã chn bt c các gói thông tin gi i trên mng.
t cách hiu nôm na, nu chng ch s là mt chng minh th nhân dân, thì
khoá công khai óng vai trò nh danh tính ca bn trên giy chng minh th (gm tên
a ch, nh...), còn khoá cá nhân là gng mt và du vân tay ca bn. Nu coi mt
u phm là thông tin truyn i, c "mã hoá" bng a ch và tên ngi nhn ca
n, thì dù ai ó có dùng chng minh th ca bn vi mc ich ly bu phm này, h
ng không c nhân viên bu n giao bu kin vì nh mt và du vân tay không
ging.
Ch ký s ca CA cp chng ch
Còn gi là chng ch gc. ây chính là s xác nhn ca CA, bo m tính chính
xác và hp l ca chng ch. Mun kim tra mt chng ch s, trc tiên phi kim
tra ch ký s ca CA có hp l hay không. Trên chng minh th, ây chính là con
u xác nhn ca Công An Tnh hoc Thành ph mà bn trc thuc. V nguyên tc,
khi kim tra chng minh th, úng ra u tiên phi là xem con du này,  bit chng
minh th có b làm gi hay không.
II.3.2 Li ích ca chng ch s
a) Mã hoá
Li ích u tiên ca chng ch s là tính bo mt thông tin. Khi ngi gi ã mã
hoá thông tin bng khoá công khai ca bn, chc chn ch có bn mi gii mã c
thông tin c. Trong quá trình truyn thông tin qua Internet, dù có c c các
gói tin ã mã hoá này, k xu cng không th bit c trong gói tin có thông tin
gì. ây là mt tính nng rt quan trng, giúp ngi s dng hoàn toàn tin cy v kh
ng bo mt thông tin. Nhng trao i thông tin cn bo mt cao, chng hn giao
ch liên ngân hàng, ngân hàng n t, thanh toán bng th tín dng, u cn phi có

chng ch sm bo an toàn.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 4
b) Chng gi mo
Khi bn gi i mt thông tin, có th là mt d liu hoc mt email, có s dng
chng ch s, ngi nhn s kim tra c thông tin ca bn có b thay i hay
không. Bt k mt s sa i hay thay th ni dung ca thông p gc u s b phát
hin. a ch mail, tên domain... u có th b k xu làm giánh la ngi nhn
 lây lan virus, n cp thông tin quan trng. Tuy nhiên, chng ch s thì không th
làm gi, nên vic trao i thông tin có kèm chng ch s luôn m bo an toàn.
c) Xác thc
Khi gi mt thông tin kèm chng ch s, ngi nhn - có th là i tác kinh doanh,
 chc hoc c quan chính quyn - s xác nh rõ c danh tính ca bn. Có ngha
là dù không nhìn thy bn, nhng qua h thng chng ch s mà bn và ngi nhn
cùng s dng, ngi nhn s bit chc chn ó là bn ch không phi là mt ngi
khác. Xác thc là mt tính nng rt quan trng trong vic thc hin các giao dch n
 qua mng, cng nh các th tc hành chính vi c quan pháp quyn. Các hot ng
này cn phi xác minh rõ ngi gi thông tin  s dng t cách pháp nhân. ây
chính là nn tng ca mt Chính phn t, môi trng cho phép công dân có th
giao tip, thc hin các công vic hành chính vi c quan nhà nc hoàn toàn qua
ng. Có th nói, chng ch s là mt phn không th thiu, là phn ct lõi ca Chính
phn t.
d) Chng chi cãi ngun gc
Khi s dng mt chng ch s, bn phi chu trách nhim hoàn toàn v nhng
thông tin mà chng ch si kèm. Trong trng hp ngi gi chi cãi, ph nhn mt
thông tin nào ó không phi do mình gi (chng hn mt n t hàng qua mng),
chng ch s mà ngi nhn có c s là bng chng khng nh ngi gi là tác gi
a thông tin ó. Trong trng hp chi cãi, CA cung cp chng ch s cho hai bên s
chu trách nhim xác minh ngun gc thông tin, chng t ngun gc thông tin c
i.

e) Ch ký n t
Email óng mt vai trò khá quan trng trong trao i thông tin hàng ngày ca
chúng ta vì u m nhanh, r và d s dng. Nhng thông p có th gi i nhanh
chóng, qua Internet, n nhng khách hàng, ng nghip, nhà cung cp và các i tác.
Tuy nhiên, email rt d bc bi các hacker. Nhng thông p có th bc hay b
gi mo trc khi n ngi nhn.
ng vic s dng chng ch s cá nhân, bn s ngn nga c các nguy c này
mà vn không làm gim nhng li th ca email. Vi chng ch s cá nhân, bn có
th to thêm mt ch ký n t vào email nh mt bng chng xác nhn ca mình.
Ch ký n t cng có các tính nng xác thc thông tin, toàn vn d liu và chng
chi cãi ngun gc.
Ngoài ra, chng ch s cá nhân còn cho phép ngi dùng có th chng thc mình
i mt web server thông qua giao thc bo mt SSL. Phng pháp chng thc da
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 5
trên chng ch sc ánh giá là tt, an toàn và bo mt hn phng pháp chng
thc truyn thng da trên mt khu.
f) o mt Website
Khi Website ca bn s dng cho mc ích thng mi n t hay cho nhng
c ích quan trng khác, nhng thông tin trao i gia bn và khách hàng ca bn
có th b l.  tránh nguy c này, bn có th dùng chng ch s SSL Server  bo
t cho Website ca mình.
Chng ch s SSL Server s cho phép bn lp cu hình Website ca mình theo
giao thc bo mt SSL (Secure Sockets Layer). Loi chng ch s này s cung cp
cho Website ca bn mt nh danh duy nht nhm m bo vi khách hàng ca bn
 tính xác thc và tính hp pháp ca Website. Chng ch s SSL Server cng cho
phép trao i thông tin an toàn và bo mt gia Website vi khách hàng, nhân viên và
i tác ca bn thông qua công ngh SSL mà ni bt là các tính nng:
+ Thc hin mua bán bng th tín dng.
+ Bo v nhng thông tin cá nhân nhy cm ca khách hàng.

+ m bo hacker không th dò tìm c mt khu.
g) m bo phn mm
u bn là mt nhà sn xut phn mm, chc chn bn s cn nhng ''con tem
chng hàng gi'' cho sn phm ca mình. ây là mt công c không th thiu trong
vic áp dng hình thc s hu bn quyn. Chng ch s Nhà phát trin phn mm s
cho phép bn ký vào các applet, script, Java software, ActiveX control, các file dng
EXE, CAB, DLL... Nh vy, thông qua chng ch s, bn sm bo tính hp pháp
ng nh ngun gc xut x ca sn phm. Hn na ngi dùng sn phm có th xác
thc c bn là nhà cung cp, phát hin c s thay i ca chng trình (do vô
tình hng hay do virus phá, b crack và bán lu...).
i nhng li ích v bo mt và xác thc, chng ch s hin ã c s dng rng
rãi trên th gii nh mt công c xác minh danh tính ca các bên trong giao dch
thng mi n t. ây là mt nn tng công ngh mang tính tiêu chun trên toàn
u, mc dù  mi nc có mt s chính sách qun lý chng thc s khác nhau. Mi
quc gia u cn có nhng CA bn a  chng v các hot ng chng thc s
trong nc. Nhng ngoài ra, nu mun thc hin TMT vt ra ngoài biên gii, các
quc gia cng phi tuân theo các chun công ngh chung, và thc hin chng thc
chéo, trao i và công nhn các CA ca nhau.
III. Trin khai dch v CA trên môi trng Window Server 2003
Trên môi trng hu hành Windows Server 2003, CA là mt phn mm c
tích hp sn.
III.1Cài t dch v CA
ng nhp vào Windows Server 2003 vi quyn Administrator.
1. Click vào Start à Control Panel à Add Or Remove Programs. Hp thoi Add Or
Remove Programs xut hin.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 6
2. Click Add/Remove Windows Components. Hp thoi Add/Remove Windows
Components xut hin à chn Certificate Services.
3. Click chn à chn Details. Hp thoi Certificate Services xut hin.

4. p thoi cnh báo v thành viên domain và ràng buc i tên máy tính xut hin à
click Yes.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 7
5. Trong trang loi CA, click chn Enterprise Root CA à click Next.
6. Trên trang thông tin nhn ra CA, trong hp Common name, ánh tên ca server à click
next.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 8
7. Trên trang Certificate Database Settings, ng dn mc nh trong hp Certificate
database box và Certificate database log à click Next.
8. i nhc dng Internet Information Services xut hin à click Yes.
9. Enable Active Server Pages (ASPs) à click Yes.
10. Khi quá trình cài t hoàn tt à click Finish.
III.2Các dch v chng ch CA Windows Server 2003 cung cp
Ch ký n t:  dng  xác nhn ngi gi thông p, file hoc d liu
khác. Ch ký n t không h tr bo v d liu khi truyn.
Chng thc internet: Có th s dng PKI  chng thc client và server c
thit lp ni kt trên internet, vì vy server có th nhn dng máy client ni kt n nó
và client có th xác nhn ã ni kt úng server.
o mt IP ( IP Security - IPSec): m rng IPSec cho phép mã hóa và truyn
ch ký s, nhm ngn chn d liu b l khi truyn trên mng. Trin khai IPSec trên
Windows Server 2003 không phi dùng PKI  có c khóa mã hóa ca nó, nhng
có th dùng PKI vi mc ích này.
Secure e-mail: Giao thc e-mail trên internet truyn thông p mail  ch bn
rõ, vì vy ni dung mail d dàng c c khi truyn. Vi PKI, ngi gi có th bo
t e-mail khi truyn bng cách mã hóa ni dung mail dùng khóa công khai ca
ngi nhn. Ngoài ra, ngi gi có th ký lên thông p bng khóa riêng ca mình.
Smart card logon: Smart card là mt loi th tín dng. Windows Server 2003 có
th dùng smart card nh là mt thit b chng thc. Smart card cha chng ch ca

 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 9
user và khóa riêng, cho phép ngi dùng logon ti bt k máy nào trong doanh
nghip vi  an toàn cao.
Software code signing: K thut Authenticode ca Microsoft dùng chng ch
chng thc nhng phn mm ngi dùng download và cài t chính xác là ca tác gi
và không c chnh sa.
Wireless network authentication: Khi cài t mt LAN wireless, phi chc chn
ng ch ngi dùng chng thc úng thì mi c ni kt mng và không có ai có
th nghe lén khi giao tip trên wireless. Có th s dng Windows Server 2003 PKI 
o v mng wireless bng cách nhn dng và chng thc ngi dùng trc khi h
truy cp mng.
III.3 Các loi CA trên Windows Server 2003
Trên windows Server 2003 có hai loi CA:
Enterprise: Enterprise CAsc tích hp trong dch v Active Directory. Chúng
 dng mu chng ch, xut bn (publish) chng ch và CRLs n Active Directory,
 dng thông tin trong c s d liu Active Directory  chp nhn hoc t chi yêu
u cp phát chng ch tng. Bi vy client ca t chc CA phi truy xut n
Active Directory  nhn chng ch, nhiu t chc CA không thích hp cho vic cp
phát chng ch cho các client bên ngoài t chc.
Stand-alone Stand-alone CAs không dùng mu chng ch hay Active Directory;
chúng lu tr thông tin cc b ca nó. Hn na, mc nh, stand-alone CAs không t
ng áp li yêu cu cp phát chng ch s ging nh enterprise CAs làm. Yêu cu
ch trong hàng i cho ngi qun tr chp nhn hoc t chi bng tay.
Dù ngi dùng chn to ra mt enterprise CA hay là mt stand-alone CA, u
phi ch rõ CA là gc (root) hay cp di (subordinate).
III.4Cp phát và qun lí các chng ch s
III.4.1Cp phát tng (Auto-Enrollment)
Auto-Enrollment cho phép client yêu cu tng và nhn chng ch s t CA mà
không cn s can thip ca ngi qun tr.  dùng Auto-Enrollment thì phi có

domain chy Windows Server 2003, mt enterprise CA chy trên Windows Server
2003 và client có th chy Windows XP Professional. u khin tin trình Auto-
Enrollment bng s phi hp ca group policy và mu chng ch s.
c nh, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho tt c các
ngi dùng và máy tính nm trong domain.  cài t, bn m chính sách cài t
Auto-Enrollment, nm trong th mc Windows Settings\ Sercurity Settings\Public
Key Policies trong c 2 node Computer Configuration và User Configuration ca
Group Policy Object Editor. Hp thoi Autoenrollment Settings Properties xut hin,
n có th cm hoàn toàn auto-enrollment cho các i tng s dng GPO này. Bn
ng có th cho phép các i tng thay i hoc cp nht chng ch s ca chúng
t cách tng.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 10
t k thut khác bn có th dùng u khin auto-enrollment là xây dng mu
chng ch có xác nh c tính ca kiu chng ch s rõ ràng.  qun lý mu chng
ch s, bn dùng mu chng ch s có sn ( Certificate Templates snap-in), nh hình
i. S dng công c này, bn có th ch rõ thi gian hiu lc và thi gian gia hn
a loi chng ch sã chn, chn dch v mã hóa (cryptographic) cung cp cho
chúng. Dùng tab Security, bn cng có th ch rõ nhng user và group c phép yêu
u chng ch s dùng mu này.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 11
Khi client yêu cu mt chng ch s, CA kim tra c tính i tng Active
Directory ca client  quyt nh liu client có quyn ti thiu c nhn chng ch
không?. Nu client có quyn thích hp thì CA s cp phát chng ch s mt cách t
ng.
III.4.2Cp phát không tng (Manual Enrollment)
Stand-alone CAs không th dùng auto-enrollment, vì vy khi mt stand-alone CA
nhn yêu cu v chng ch s t client, nó s lu tr nhng yêu cu ó vào trong mt
hàng i cho ti khi ngi qun tr quyt nh liu có cp phát chng ch s hay

không?. giám sát và x lý các yêu cu vào, ngi qun tr dùng Certification
Authority console, nh hình sau:
Trong Certification Authority console, tt c yêu cu cp phát chng ch s xut
hin trong th mc Pending Request. Sau khi ánh giá thông tin trong mi yêu cu,
ngi qun tr có th chn  chp nhn (issue) hay t chi yêu cu. Ngi qun tr
ng có th xem c tính ca vic cp phát chng ch và thu hi chng ch khi cn.
III.4.3Các cách yêu cu cp phát CA
III.4.3.1 S dng Certificates Snap-in:
Certificate Snap-in là mt công c dùng  xem và qun lý chng ch ca mt user
hoc computer c th. Màn hình chính ca snap-in bao gm nhiu th mc cha tt c
ng mc chng ch sc chnh cho user hoc computer. Nu t chc ca ngi
dùng s dng enterprise CAs, Certificate Snap-in cng cho phép ngi dùng yêu cu
và thay i chng ch s bng cách dùng Certificate Request Wizard và Certificate
Renewal Wizard.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 12
III.4.3.2 Yêu cu cp phát thông qua Web (Web Enrollment)
Khi bn cài t Certificate Services trên máy tính chy Windows Server 2003,
ngi dùng có th chn cài t module Certificate Services Web Enrollment Support.
 hot ng mt cách úng n, module này yêu cu ngi dùng phi cài t IIS
trên máy tính trc. Chn module này trong quá trình cài t Certificate Services to
ra trang Web trên máy tính chy CA, nhng trang Web này cho phép ngi dùng gi
yêu cu cp chng ch s yêu cu mà h chn.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 13
Giao din Web Enrollment Support c dùng cho ngi s dng bên ngoài hoc
bên trong mng truy xut n stand-alone CAs. Vì stand-alone server không dùng
u chng ch s, client gi yêu cu bao gm tt c các thông tin cn thit v chng
ch s và thông tin v ngi s dng chng ch s.
Khi client yêu cu chng ch s dùng giao din Web Enrollment Support, chúng

có th chn t danh sách loi chng chã c nh ngha trc hoc to ra chng
ch cao cp bng cách ch rõ tt c các thông tin yêu cu trong form Web-based.
 tài khoa hc cp trng Trin khai các dch v da trên CA
Trang 14
III.4.4Thu hi chng ch s
Có vài nguyên nhân cnh báo cho ngi qun tr thu hi chng ch. Nu nh khóa
riêng ( private key) b l, hoc ngi dùng trái phép li dng truy xut n CA, thm
chí nu bn mun cp phát chng ch dùng tham s khác nh là khóa dài hn, bn
phi c thu hi chng ch trc ó. Mt CA duy trì mt CRL (Certificate
Revocation List). Enterprise CAs xut bn CRLs ca chúng trong c s d liu
Active Directory, vì vy client có th truy xut chúng dùng giao thc truyn thông
Active directory chun, gi là Lightweight Directory Access Protocol (LDAP). Mt
stand-alone CA lu tr CRL ca nó nh là mt file trên a cc b ca server, vì vy
client truy xut dùng giao thc truyn thông Internet nh Hypertext Transfer Protocol
(HTTP) or File Transfer Protocol (FTP).
i chng ch s cha ng dn ti m phân phi ca CA cho CRLs. Có th
a i ng dn này trong Certification Authority console bng cách hin th hp
thoi Properties cho CA, click vào tab Extension. Khi mt ng dng chng thc client
ang dùng chng ch s, nó kim tra m phân phi CRL ã nh rõ trong chng ch
,  chc chn rng chng ch s không b thu hi. Nu CRL không có ti m
phân phi ã nh rõ ca nó, ng dng t chi chng ch.
ng cách chn th mc Revoked Certificates trong Certification Authority
console và sau ó hin th hp thoi Properties ca nó, bn có th ch rõ bao lâu thì
CA nên xut bn mt CRL mi, và cng cu hình CA  xut bn delta CRLs.Mt