清除CRL和OCSP吊销缓存

默认情况下系统会缓存证书的CRL和OCSP证书吊销信息,以加速证书验证过程。

我们为了测试证书是否成功被吊销,可以通过 myssl.com 这个网站在线进行检查,也可以清系统吊销空缓存后通过浏览器更直观的去查看。

!证书被吊销后浏览器不会让你选择忽略继续访问。

Windows

certutil -urlcache * delete

Mac OS X

OS X 10.11之前

sudo rm /var/db/crls/*cache.db

会删除:

  • /var/db/crls/crlcache.db
  • /var/db/crls/ocspcache.db

OS X 10.12 Sierra

sqlite3 ~/Library/Keychains/*/ocspcache.sqlite3 'DELETE FROM ocsp;'

注意:如果WebServer开启了OCSP装订,需要关闭,不然浏览器还是不会刷新吊销状态。