Это моя ситуация:
Мы находимся в процессе замены хранилища сертификатов, в настоящее время размещенного на iPlanet от Sun, на облегченные службы каталогов Microsoft (новая версия ADAM с Server 2008).
Эти сертификаты были импортированы в LDS в раздел приложения (скажем, o = myorg, C = AU). В рамках этой структуры у меня есть около 40 000 подразделений, каждое из которых представляет клиента в каждом клиенте. Подразделения являются одним или несколькими пользовательскими (iNetOrg) объектами (всего около 60 000). У каждого пользователя есть один или несколько сертификатов в атрибуте UserCertificate.
Сочетание внутреннего письменного кода приложения и собственного кода PKI считывает и публикует эти сертификаты для проверки финансовых транзакций.
Поскольку путь сертификатов LDAP хранится в сертификатах клиентов (и в коде приложения), и нет никакого аппетита для изменения любого кода, мне пришлось взять весь каталог iPlanet и выгрузить его в LDS в той же структуре.
(Я не буду использовать или размещать Microsoft CA, просто реализую LDAP-совместимый каталог для размещения этих сертификатов)
Мы полностью протестировали приложение, используя данные в LDS, и все работает отлично - вот моя дилемма и вопрос (наконец, фу!)
Не было никакого процесса для удаления отозванных или просроченных сертификатов, следовательно, подавляющее большинство данных совершенно бесполезны, система работает уже около 8 лет! Я провел быстрый анализ и оценил, что по крайней мере 80% данных больше не действительны.
Поскольку я беру на себя ответственность за управление каталогом, я хотел бы начать с чистого каталога. Кто-нибудь знает, как я могу очистить эти сертификаты с истекшим сроком действия. Я не очень опытный сценарист, но у меня есть опыт в VB. Я исследовал использование CAPICOM и чувствую, что его можно использовать, но в каком именно смысле я не уверен ??
Я бы предпочел написать сценарий, в котором я мог бы указать дату истечения срока действия (скажем, любые сертификаты, срок действия которых истек до 2010 года), а затем работать с разделением LDS. Таким образом, я могу периодически использовать сценарий для очистки каталога (как упомянуто выше - у меня нет способа настроить приложения, которые пишут сертификаты, это делается третьей стороной).
Другая, менее привлекательная альтернатива - это массаж файла LDIF (2,7 миллиона строк!), Чтобы вырвать сертификаты перед импортом
Любая помощь и совет очень ценятся.
Приветствия
Jon