证书撤销列表和私有证书颁发机构
Certificate Revocation Lists and Private Certification Authority
全部,
我有几个关于使用私有证书颁发机构的证书吊销列表的问题。我们目前有一个自签名的 CA,它生成客户端证书以访问我们的应用程序。我们正在寻求实施 CRL,但是一些测试证书已经颁发并正在使用中。我的问题如下(我很难通过自己的研究确定一个准确的答案)
- 如果我现在向我们的根 CA 应用 CRL 和分发点,已经颁发的客户端证书是否会自动看到该更改并开始查看分发点以进行吊销?
- 我可以使用 https 站点托管我的 CDP 还是必须是 http?
- 当我创建将在 IIS 中托管 Recovation 文件的站点时 - 是否需要任何特定设置以便检查它的客户端证书可以更新和检查吊销列表?
非常感谢,
- 根证书本身不应有 CRL 分发点扩展,因为:
- 根证书吊销未在任何全球标准中定义。
- 许多证书链引擎不检查根 CA 证书是否被吊销。信任是通过带外显式信任建立的。
相反,根 CA 应在颁发的证书中包含 CRL 分发点扩展。
CDP 位置必须仅使用 HTTP。否则你会 运行 进入循环检查(或先有鸡还是先有鸡的问题):在访问 CDP 之前,你需要检查 SSL 证书的 CRL。这将指向支持 SSL 的 CDP,然后重复上述过程。此外,CRL 不存储任何敏感信息,并且已经通过数字签名受到 tampering/altering 的保护。
没什么特别的,除了:必须允许匿名身份验证(因为许多证书链引擎无法在网站上进行身份验证)。
全部,
我有几个关于使用私有证书颁发机构的证书吊销列表的问题。我们目前有一个自签名的 CA,它生成客户端证书以访问我们的应用程序。我们正在寻求实施 CRL,但是一些测试证书已经颁发并正在使用中。我的问题如下(我很难通过自己的研究确定一个准确的答案)
- 如果我现在向我们的根 CA 应用 CRL 和分发点,已经颁发的客户端证书是否会自动看到该更改并开始查看分发点以进行吊销?
- 我可以使用 https 站点托管我的 CDP 还是必须是 http?
- 当我创建将在 IIS 中托管 Recovation 文件的站点时 - 是否需要任何特定设置以便检查它的客户端证书可以更新和检查吊销列表?
非常感谢,
- 根证书本身不应有 CRL 分发点扩展,因为:
- 根证书吊销未在任何全球标准中定义。
- 许多证书链引擎不检查根 CA 证书是否被吊销。信任是通过带外显式信任建立的。
相反,根 CA 应在颁发的证书中包含 CRL 分发点扩展。
CDP 位置必须仅使用 HTTP。否则你会 运行 进入循环检查(或先有鸡还是先有鸡的问题):在访问 CDP 之前,你需要检查 SSL 证书的 CRL。这将指向支持 SSL 的 CDP,然后重复上述过程。此外,CRL 不存储任何敏感信息,并且已经通过数字签名受到 tampering/altering 的保护。
没什么特别的,除了:必须允许匿名身份验证(因为许多证书链引擎无法在网站上进行身份验证)。