Pki
分級認證機構和 CRL
如果我實現了具有多個 CA 級別的 PKI,我是否需要為每個單獨的 CA 擁有一個 CRL,或者我可以只為整個層次結構擁有一個 CRL(即,將所有證書指向一個 CRL),還是只在層次結構的上層?
每個 CA 都需要發布自己的 CRL。
從技術角度來看,無法組合多個 CRL 的原因是每個 CRL 都需要由生成它的 CA 進行加密簽名,因此它是 1-CA-to-1-CRL 關係。