PKI X509:CRL 颁发者详细信息需要
PKI X509: CRL issuer details need
因此,在 RFC5280 and its figure 1 和后来的 RFC 中,我们可以读到可以将 CRL 颁发委托给另一个证书:CRL 颁发者。
但我对 CRL 颁发者和图 1 有几个问题。
- CRL 颁发者是否必须由其委托的 CA 签名?
例如有如下链:
Root CA -> Intermed.1 CA -> Interm.2 CA -> End-entity
我想委托 Intermed.1 CA
的 CRL 发布。 CRL 颁发者能否由根 CA 或仅由 Intermed.1 CA 签署?
CRL颁发者可以是多个CA的委托吗?换句话说,CRL 颁发者将用于根 CA 颁发的每个 CA => Intermed.1a CA、Intermed.1b CA、Intermed.1c CA
同一个CRL颁发者可以用于不同级别的链吗? CRL 颁发者将用作 Intermed.1 CA 和 Intermed.2 CA 的委托。
非常感谢。
Does the CRL issuer MUST be signed by the CA it delegates?
不,不是。 CA 可以将 CRL 签名委托给任何受信任的机构。必要条件:客户端必须在本地缓存中具有 CRL 签名者证书以验证 CRL 签名。而且这个签名者必须得到客户的信任。此要求是必需的,因为客户端无法使用权限信息访问扩展来检索所需的证书。
Can the CRL issuer be delegates of multiple CA? In other words, the CRL issuer would be used for each CA issued by Root CA => Intermed.1a CA, Intermed.1b CA, Intermed.1c CA
抱歉,我不明白这个问题。如果你问链上所有的CA是否都可以使用delegated CRL Issuer,那么答案是肯定的。
Can the same CRL issuer be used for different levels of the chain? The CRL issuer would be used as a delegate of Intermed.1 CA and Intermed.2 CA.
是的。同一个委托实体可以是多个不同 CA 的 CRL 颁发者。每个 CA 都可以将 CRL 签名委托给多个 CRL 颁发者。
因此,在 RFC5280 and its figure 1 和后来的 RFC 中,我们可以读到可以将 CRL 颁发委托给另一个证书:CRL 颁发者。
但我对 CRL 颁发者和图 1 有几个问题。
- CRL 颁发者是否必须由其委托的 CA 签名?
例如有如下链:
Root CA -> Intermed.1 CA -> Interm.2 CA -> End-entity
我想委托 Intermed.1 CA
的 CRL 发布。 CRL 颁发者能否由根 CA 或仅由 Intermed.1 CA 签署?
CRL颁发者可以是多个CA的委托吗?换句话说,CRL 颁发者将用于根 CA 颁发的每个 CA => Intermed.1a CA、Intermed.1b CA、Intermed.1c CA
同一个CRL颁发者可以用于不同级别的链吗? CRL 颁发者将用作 Intermed.1 CA 和 Intermed.2 CA 的委托。
非常感谢。
Does the CRL issuer MUST be signed by the CA it delegates?
不,不是。 CA 可以将 CRL 签名委托给任何受信任的机构。必要条件:客户端必须在本地缓存中具有 CRL 签名者证书以验证 CRL 签名。而且这个签名者必须得到客户的信任。此要求是必需的,因为客户端无法使用权限信息访问扩展来检索所需的证书。
Can the CRL issuer be delegates of multiple CA? In other words, the CRL issuer would be used for each CA issued by Root CA => Intermed.1a CA, Intermed.1b CA, Intermed.1c CA
抱歉,我不明白这个问题。如果你问链上所有的CA是否都可以使用delegated CRL Issuer,那么答案是肯定的。
Can the same CRL issuer be used for different levels of the chain? The CRL issuer would be used as a delegate of Intermed.1 CA and Intermed.2 CA.
是的。同一个委托实体可以是多个不同 CA 的 CRL 颁发者。每个 CA 都可以将 CRL 签名委托给多个 CRL 颁发者。