我有一个架构,其中有一个根CA和多个子CA.每个子CA都在其“域”中发布设备的证书。每个域内都有一个VPN网关(Cisco路由器)。我想确定是否可以设计一个配置,其中每个域的VPN网关都能够检查连接设备的证书是否已在其域的子CA或其他域的子CA中被撤销。我也在寻找最有效的解决方案,在添加新域时需要尽可能少的配置。
谢谢!
答案 0 :(得分:0)
CRL或OCSP响应在列表中具有已撤销证书的序列号,该序列号由颁发CA或OCSP响应者签名。这样可以确保在我的CA上撤销证书序列号123456789时,不会撤销具有相同序列号但由CA颁发的证书序列号。证书序列号虽然很长,但并不是全球唯一的。
从安全角度来看,撤销其他CA证书的能力只会造成混乱,后果将是可怕的。
唯一可以撤销证书的CA就是颁发证书的CA.