红帽全球峰会7.4. 设置完整和 delta CRL 调度
CRL 定期生成。在 第 7.3.2 节 “为每个发布点配置 CRL” 中的配置中访问该 period。
CRL 根据基于时间的调度进行。当证书被撤销、一天的特定时间或每这个分钟一次进行一次时,可以发布 CRL。
基于时间的 CRL 生成调度适用于生成的每个 CRL。CRL 有两种类型,即完全 CRL 和 delta CRL。完整的 CRL 具有每个撤销的证书的记录,而 delta CRL 则仅包含生成自最后一个 CRL (增量或完整)后撤销的证书。
默认情况下,在调度中的每个指定间隔都会生成完整的 CRL。通过生成内部 delta CRLs,有可能造成生成完整 CRL 之间的时间。生成间隔在 CRL 模式中配置,它会设置生成 delta 和 full CRL 的方案。
如果间隔设置为 3,则第一个 CRL 生成的是 full 和 delta CRL,则下一个两代更新仅是 delta CRL,然后第四个间隔是 full 和 delta CRL。换句话说,每个第三个间隔都具有完整的 CRL 和 delta CRL。
Interval 1, 2, 3, 4, 5, 6, 7 ... Full CRL 1 4 7 ... Delta CRL 1, 2, 3, 4, 5, 6, 7 ...
Interval 1, 2, 3, 4, 5, 6, 7 ...
Full CRL 1 4 7 ...
Delta CRL 1, 2, 3, 4, 5, 6, 7 ...除了完整 CRL 外,要生成 delta CRL,必须启用 CRL 缓存。
7.4.1. 在控制台中配置 CRL 更新间隔
pkiconsole 已被弃用。
打开控制台。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pkiconsole https://server.example.com:8443/ca
pkiconsole https://server.example.com:8443/ca- 在 Configuration 选项卡中,展开 Certificate Manager 文件夹和 CRL Issuing Points 子文件夹。
选择 MasterCRL 节点。
在 Generate full CRL every # delta (s) 字段中输入所需的间隔。
通过指定证书撤销的 occasion、cyclical 间隔或设置更新的时间来设置更新频率:
- 每次证书被撤销或发布时,选择 Update CRL。每次从 hold 选项撤销或发布证书时,更新 CRL 也要求您填写两个 Grace 周期 设置。这是一个已知问题,程序错误在 Red Hat Bugzilla 中被跟踪。
- 每次证书被撤销或发布时,选择 Update CRL。
选中 Update CRL at 复选框,并输入以逗号分开的特定时间,如
01:50,04:55,06:55。
选择 Update CRL every 复选框,并输入所需的间隔,如
240。
- 保存更改。
每次从 hold 选项撤销或发布证书时,更新 CRL 也要求您填写两个 宽限期 设置。这是一个已知问题,程序错误在 Red Hat Bugzilla 中被跟踪。
根据间隔更新 CRL 时,可能会发生调度偏移。通常,因为手动更新和 CA 重启,会进行偏移。
要防止调度偏移,请选中 Update CRL at 复选框并输入一个值。间隔更新每 24 小时使用 Update CRL 重新同步。
在 以间隔更新 CRL 时,只接受一个 Update CRL。
7.4.2. 在 CS.cfg 中为 CRL 配置更新间隔
有关如何通过编辑 CS.cfg 文件配置此功能的说明,请参阅 Red Hat Certificate System 规划、安装和部署指南中的在 CS.cfg 中为 CRL 配置 更新间隔部分。
7.4.3. 在多个天内配置 CRL 生成计划
默认情况下,CRL 生成计划覆盖 24 小时。另外,当默认启用 full 和 delta CRLs 时,会以特定间隔或所有 delta CRLs 代替每个第三个更新。
要在多个天数内设置 CRL 生成调度,时间列表使用逗号分隔同一天内的时间,一个分号来取消限制天数:
ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00;02:00,05:00,17:00
ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00;02:00,05:00,17:00本例更新了位于 01:00, 03:00, 和 18:00 的时间表之日的 CRL,并在一天中的 02:00, 05:00, 和 17:00 调度中更新。在 3 天开始周期。
分号表示一天。以分号开始列表会导致生成 CRL 的初始天。同样,以分号结尾的列表也会在没有生成 CRL 的调度中添加最后一天。两个分号一起会导致一天没有 CRL 生成。
要设置独立于 delta 更新的完整 CRL 更新,列表接受带有星号的时间值,以指示何时发生完整的 CRL 更新:
ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00,*23:00;02:00,05:00,21:00,*23:30
ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00,*23:00;02:00,05:00,21:00,*23:30本例每天在 01:00、03:00 和 18:00 时生成 delta CRL 更新,其完整和 delta CRL 更新于 23:00。在第二天,delta CRL 在 02:00、05:00 和 21:00 中更新,其完整和 delta CRL 更新为 23:30。在第 3 天,周期会再次开始。
分号和星号语法可在 pkiconsole 和手动编辑 CS.cfg 文件中工作。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}