当生成"new“和"delta”CRLs时,CRL文件名应该是什么样子?
我怀疑每次生成新的CRL或新的Delta时,我的Windows 20012证书服务器CRL吊销配置都不正确,最多只生成3个文件。
- 当我创建离线根目录(见下图)时,它生成了文件
- 当脱机根创建它的第一个证书时,它用名称
Root01+.crt签名。
根用户从子(策略)CA添加到我的证书请求文件中的部分证书转储:
2 Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://classic.freesmime.com/Root01/Root01_.crt然后,我查看了文件系统,并注意到中间引用的是一个从未创建的证书。因此,我转到根CA,点击节点,上面写着“撤销证书”,然后点击发布。
然后,我可以选择创建一个新的CRL文件或创建一个增量文件。我不知道该做什么,所以我做了他们两个(这是一个测试实验室)。我注意到生成了以下文件:
ROOT01+.crl (updated for Delta and new CRL)
ROOT01.crl (Updated only for new CRL)
ROOT01_.crl (Never updated ... only created when CA installed)问题
- 我的问题是..。是否正确的是,一个给定的CA将有最多3个CRL与不同的后缀,如上文所列?
- 下划线名称从未被更新过是正确的吗?
以下是MSFT脱机CA中我的CRL配置的图片:
对不起,太大了,我在Mac电脑上,认为是什么东西让图像看起来太大了
回答 1
Security用户
发布于 2013-01-08 02:59:02
Microsoft证书服务的“正常”设置涉及两个CRL文件:一个基本CRL和一个增量CRL。基本CRL注定要从颁发的证书中的CRL Distribution Points扩展中引用。基CRL将包含一个Freshest CRL扩展,它本身指向增量CRL。每当发布新的基本CRL时,就会立即发布新的增量CRL;但是增量CRL也可以比基本CRL更频繁地更新(顺便说一句,这就是使用增量CRL的意义)。默认情况下,每当上一个增量CRL即将过期,以及证书被撤销时,证书服务都会强制执行新的增量CRL。
您不需要超过这两个文件。请记住,只有当客户端(验证证书的客户端)能够找到它们时,CRL才有任何值,并且他们通过遵循在其他对象中找到的URL来找到它们。End实体证书包含一个用于CRL下载的URL,因此当前的CRL必须始终以该名称存储。
此外,证书服务允许您仅通过一个公共设置配置CRL (基和增量)的名称,这两个名称仅由"<DeltaCRLAllowed>“关键字不同,该关键字被基本CRL的空字符串替换,而对于增量CRL则使用"+”符号。该命名方案是强制的;您不能更改它。(顺便说一句,如果您选择基于Web的CRL发行版,并且您的Web服务器是IIS,那么"+“标志将给您带来麻烦;为了允许IIS提供文件,您必须激活双重逃逸。)
对于带有下划线的第三个文件,验证它是".crl“文件(即CRL)还是".crt”文件(即证书)。这是正常的,并期望在该位置有CA证书的副本。该证书的名称(默认情况下)将从CA的主机名及其域名派生--如果在下划线之后没有得到任何信息,那么我假设您的CA不是Active Directory域的一部分。CA证书来自已颁发证书的Authority Information Access扩展,而CRL来自相同证书的CRL Distribution Points扩展。
https://security.stackexchange.com/questions/26651
复制相似问题
腾讯云开发者
