PKI X509：CRL 颁发者详细信息需要

Question

因此，在 RFC5280 and its figure 1 和后来的 RFC 中，我们可以读到可以将 CRL 颁发委托给另一个证书：CRL 颁发者。

但我对 CRL 颁发者和图 1 有几个问题。

1. CRL 颁发者是否必须由其委托的 CA 签名？

例如有如下链： Root CA -> Intermed.1 CA -> Interm.2 CA -> End-entity 我想委托 Intermed.1 CA 的 CRL 发布。 CRL 颁发者能否由根 CA 或仅由 Intermed.1 CA 签署？

2. CRL颁发者可以是多个CA的委托吗？换句话说，CRL 颁发者将用于根 CA 颁发的每个 CA => Intermed.1a CA、Intermed.1b CA、Intermed.1c CA

3. 同一个CRL颁发者可以用于不同级别的链吗？ CRL 颁发者将用作 Intermed.1 CA 和 Intermed.2 CA 的委托。

非常感谢。

Answer 1

Does the CRL issuer MUST be signed by the CA it delegates?

不，不是。 CA 可以将 CRL 签名委托给任何受信任的机构。必要条件：客户端必须在本地缓存中具有 CRL 签名者证书以验证 CRL 签名。而且这个签名者必须得到客户的信任。此要求是必需的，因为客户端无法使用权​​限信息访问扩展来检索所需的证书。

Can the CRL issuer be delegates of multiple CA? In other words, the CRL issuer would be used for each CA issued by Root CA => Intermed.1a CA, Intermed.1b CA, Intermed.1c CA

抱歉，我不明白这个问题。如果你问链上所有的CA是否都可以使用delegated CRL Issuer，那么答案是肯定的。

Can the same CRL issuer be used for different levels of the chain? The CRL issuer would be used as a delegate of Intermed.1 CA and Intermed.2 CA.

是的。同一个委托实体可以是多个不同 CA 的 CRL 颁发者。每个 CA 都可以将 CRL 签名委托给多个 CRL 颁发者。