Windows Server 2008与证书监测工具讲解

核心提示： PKIView.msc使用PKIView.msc工具的时候，用户需要为PKI打开MMC，Windows Server 2008与证书监测工具讲解(3)，这个命令将会启动PKI Health工具以确保对所有与现有PKE相关的活动和状况进行监控，PKIView 同样还会监控Authority

PKIView.msc

使用PKIView.msc工具的时候，用户需要为PKI打开MMC。这个命令将会启动PKI Health工具以确保对所有与现有PKE相关的活动和状况进行监控。PKIView 同样还会监控Authority Information Access (AIA)以及CRL distribution (CDP) 扩展功能以保证监控服务顺利进行不会出现中断。PKIView.msc最开始出现在Windows Server 2003 Resource Kit中，你可以从微软官网下载并安装。PKIView可以帮助用户查看PKI的状态，监测PKI的整个活动。还有多种视觉的指示器帮助用户全方位地了解PKI的情况。例如，绿色标志显示PKI状态良好，而黄色警告标志则说明证书或者证书吊销列表(CRL)已经快过期，红色错误标志表明CRL或者Authority Information Access (AIA)位置不可用，同时还可以指示CA不可信赖。

注意：

PKIView最开始是Windows Server 2003 Resource Kit的一部分，也被称为PKI Health工具，新版本(原本是MMC模块)已经是该操作系统的一部分，新版本同样支持 Unicode。

certutil.exe

验证工具(certutil.exe)命令可以通过两个参数来判断签发的证书的有效性：　

certutil-verify–urlfetch

使用–verify –urlfetch文件名可以让用户看到每个证书URL的输出，如果成功验证，会显示“verified”输出，如果失败，则会显示“错误”输出

certutil-viewstore

–viewstore输出可以让用户查看特定Active Directory Domain Services 存储或者对象的内容，这能让用户选择查看所有存储中的证书情况。

如果certutil命令不能正确执行，或者你没有证书，都会获得错误提示信息。

CRL检查是证书监测的重要功能，也是主要功能。显然，你不希望在证书被替换或者升级前出现证书过期的情况。CRL，或者又称为证书吊销列表，正如其名，指的是那些需要被吊销的证书的列表。CRL检查是为了查看证书是否有效，这个工具是确保证书有效性的重要工具。使用该工具有着重要的意义，因为certutil.exe将会检查CA的CRL，而 Certificate MMC Snap-In 则不会检查证书的CRL。

使用certreq

Certreq可以用于请求证书，你可以使用 certreq来查询CA并为证书创建新的请求。

本文中我们讨论了Windows Server 2008与专业证书监测工具(PKIView.msc和 certutil.exe等)结合应用的问题，以及监控工具的使用等。我们同时还讨论了 PKIView.msc控制台和certutil.exe工具命令行的用法。希望可以对网友的企业IT管理有所帮助。