Pki

分級認證機構和 CRL

  • December 17, 2015

如果我實現了具有多個 CA 級別的 PKI,我是否需要為每個單獨的 CA 擁有一個 CRL,或者我可以只為整個層次結構擁有一個 CRL(即,將所有證書指向一個 CRL),還是只在層次結構的上層?

每個 CA 都需要發布自己的 CRL。

從技術角度來看,無法組合多個 CRL 的原因是每個 CRL 都需要由生成它的 CA 進行加密簽名,因此它是 1-CA-to-1-CRL 關係。

引用自:https://serverfault.com/questions/249566