Szybka ściągawka, szczególnie przydatne w sytuacji, w której masz wystawiony na świat CRL check point, by móc online sprawdzać certyfikaty (na przykład, w przypadku używania certyfikatów SSL wystawionych przez wewnętrzny urząd certyfikacji):
certutil -f -URL http://example.com/CA-Name.crl
Otworzy się w Windowsie okienko, w którym możemy sprawdzić status ważności list CRL, klikamy Retrieve. Wszystkie wpisy muszą mieć status OK. W przypadku, gdy jest niedostępny choć jeden wpis lub jest nieważny (status Expired), certyfikat nie zostanie zweryfikowany i otrzymamy następujący błąd (np. w przypadku próby połączenia z serwerem VPN):
Da się to ominąć, choć nie polecam. W przykładzie powyżej używałem połączenia SSTP i dla niego jest parametr DWORD NoCertRevocationCheck w rejestrze w:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
Jak rozwiążemy problem z CRL, na przykład odświeżając je i dalej nie możemy się połączyć, warto odświezyć cache wykonując następujące polecenie:
certutil -setreg chain\ChainCacheResyncFiletime @now