证书撤销列表和私人证书颁发机构

时间:2015-11-17 02:16:33

标签: security ssl x509certificate pki

所有

我有一些与使用私人证书授权的证书撤销列表有关的问题。我们目前有一个自签名CA,可以为访问我们的应用程序生成客户端证书。我们正在寻求实施CRL,但是已经发布了一些测试证书并且正在使用中。我的问题如下(我通过自己的研究难以确定答案)

  1. 如果我现在将CRL和分发点应用于我们的根CA,那么已发布的客户端证书是否会自动看到该更改并开始查看撤销的分发点?
  2. 我可以使用https网站托管我的CDP,还是必须是http?
  3. 当我创建将在IIS中托管Recovation文件的站点时 - 是否需要进行任何特定设置以便检查它的客户端证书是否可以更新并检查撤销列表?

    4. 非常感谢,

1 个答案:

答案 0 :(得分:0)

  1. 根证书本身不具有CRL分发点扩展名,因为:
    • 根证书吊销未在任何全球标准中定义。
    • 许多证书链引擎不检查根CA证书是否被撤销。信任是通过带外明确信任建立的。

    2. 相反,根CA应在颁发的证书中包含CRL分发点扩展名。

    1. CDP位置必须仅使用HTTP。否则,您将遇到循环检查(或鸡蛋和鸡肉问题):在访问CDP之前,您需要检查SSL证书的CRL。这将指向启用SSL的CDP并重复故事。此外,CRL不存储任何敏感信息,并且已经通过数字签名防止篡改/更改。

    2. 没什么特别的,除了:必须允许匿名身份验证(因为许多证书链引擎无法在网站上进行身份验证)。

相关问题
最新问题