Pki

分級認證機構和 CRL

  • December 17, 2015

如果我實現了具有多個 CA 級別的 PKI,我是否需要為每個單獨的 CA 擁有一個 CRL,或者我可以只為整個層次結構擁有一個 CRL(即,將所有證書指向一個 CRL),還是只在層次結構的上層?

每個 CA 都需要發布自己的 CRL。

從技術角度來看,無法組合多個 CRL 的原因是每個 CRL 都需要由生成它的 CA 進行加密簽名,因此它是 1-CA-to-1-CRL 關係。

引用自:https://serverfault.com/questions/249566

相關問答

Ssl-Certificate

來自 CA 的伺服器證書是否可以沒有 CRL URL?

  • October 12, 2022
檢視問答
Ssl-Certificate

如何為同一個通用名稱頒發多個證書?

  • November 7, 2019
檢視問答
Windows

pkiview.msc 中的 OCSP 位置錯誤。但 OCSP 響應者似乎有效

  • September 2, 2019
檢視問答
Ssl-Certificate

如何使用 OpenSSL 更改 CRL 的過期時間?

  • May 28, 2019
檢視問答
Ssh

伺服器 ssh 證書鏈對抗 MITM 攻擊?

  • February 15, 2019
檢視問答
Windows-Xp

為什麼 Windows 會錯誤地聲稱自簽名根 CA 證書已被吊銷?

  • July 10, 2017
檢視問答