7.3. 发出 CRL

  1. 证书管理器使用其 CA 签名证书密钥来签署 CRL。要为 CRL 使用单独的签名密钥对,请设置 CRL 签名密钥并更改证书管理器配置,以使用此密钥为 CRL 签名。如需更多信息,请参阅 第 7.3.4 节 “将 CA 设置为使用其他证书来签名 CRL”
  2. 设置 CRL 发行点。已经为 master CRL 设置并启用了一个发布点。

    图 7.1. 默认 CRL 发行点

    默认 CRL 发行点
    可以创建 CRL 的额外发布点。详情请查看 第 7.3.1 节 “配置发行得分”
    根据配置发布点时所设置的选项,还会有五种 CRL 的 CRL 类型来定义 CRL 将列出的内容:
    • Master CRL 包含来自整个 CA 的已撤销证书的列表。
    • ARL 是一个授权撤销列表,仅包含已撤销的 CA 证书。
    • 带有过期证书的 CRL 包括撤销在 CRL 中过期的证书。
    • 证书配置集中的 CRL 决定基于最初创建证书的配置集包括的已撤销证书。
    • 由原因代码的 CRL 决定 基于撤销原因代码中包含的已撤销证书。
  3. 为每个发布点配置 CRL。详情请查看 第 7.3.2 节 “为每个发行点配置 CRL”
  4. 设置为发出点配置的 CRL 扩展。详情请查看 第 7.3.3 节 “设置 CRL 扩展”
  5. 通过为该发出点、DeltaCRLIndicator 或 CRLumber 启用扩展来为发布点设置 delta CRL
  6. 设置 CRLDistributionPoint 扩展,以包含有关发布点的信息。
  7. 将发布 CRL 设置为文件、LDAP 目录或 OCSP 响应程序。有关设置发布的详情,请参阅 第 8 章 发布证书和 CRL

7.3.1. 配置发行得分

发出点会定义哪些证书包括在新的 CRL 中。默认情况下,为 master CRL 创建一个 master CRL 发出点,其中包含证书管理器的所有已撤销证书列表。
要创建新发布点,请执行以下操作:
  1. 打开 CertificateCertificate Systemnbsp;System Console。
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡中,从左侧导航菜单中展开 Certificate Manager。然后选择 CRLsuing Points
  3. 要编辑发布点,请选择发布点,然后单击 编辑。唯一可以编辑的参数是发出点的名称,以及发出点是否启用还是禁用。
    要添加发布点,请单击 Add。CRL Issuing Point Editor 窗口将打开。

    图 7.2. CRL Issuing Point Editor

    CRL Issuing Point Editor
    注意
    如果某些字段没有足够大来读取内容,请拖动该图标中的一个窗口。
    填写以下字段:
    • 启用。如果选择,启用发出点;取消选择"禁用"。
    • CRL 签发者名称。为发出点指定名称;不允许使用空格。
    • 描述。描述发布点。
  4. 点击 OK
要查看并配置新的发布点,请关闭 CA 控制台,然后再次打开控制台。新的发布点列在导航树中的 CRLsuing Points 条目下。
为新的发布点配置 CRL,并设置任何 CRL 扩展来与 CRL 搭配使用。有关配置发布点的详情,请参阅 第 7.3.2 节 “为每个发行点配置 CRL”。有关设置 CRL 扩展的详情,请参阅 第 7.3.3 节 “设置 CRL 扩展”。创建的所有 CRL 会显示在代理服务页面的 Update Revocation List 页面中。