7.3. 发布 CRL

证书管理器使用其 CA 签名证书密钥来签署 CRL。要将单独的签名密钥对用于 CRL，请设置 CRL 签名密钥并更改证书管理器配置以使用此密钥为 CRL 签名。请参阅第 7.3.4 节 “将 CA 设置为使用不同的证书为 CRL 进行签名” 了解更多信息。
设置 CRL 发布点。为 master CRL 设置并启用问题点。
图 7.1. 默认 CRL 发布点
可以创建 CRL 的额外发布点。详情请查看第 7.3.1 节 “配置发布点”。
发布点可以创建五类 CRL，具体取决于配置发布点时设置的选项来定义 CRL 将列出的内容：
- Master CRL 包含从整个 CA 中撤销的证书列表。
- ARL 是一个仅包含撤销的 CA 证书的授权撤销列表。
- 带有过期证书的 CRL 包括 CRL 中已过期的证书。
- 来自证书配置文件的 CRL 决定基于最初创建证书的配置集来包括撤销的证书。
- 按原因代码的 CRLs 根据吊销原因代码决定撤销的证书。
为每个发布点配置 CRL。详情请查看第 7.3.2 节 “为每个发布点配置 CRL”。
设置为发布点配置的 CRL 扩展。详情请查看第 7.3.3 节 “设置 CRL 扩展”。
通过为该发出点、DeltaCRLIndicator 或 CRLNumber 启用扩展来为发布点设置 delta CRL。
设置 CRLDistributionPoint 扩展，使其包含有关发出点的信息。
将 CRL 设置为文件、LDAP 目录或 OCSP 响应器。有关设置发布的详情，请查看第 10 章 发布证书和 CRL。

7.3.1. 配置发布点

发布点定义在新 CRL 中包含哪些证书。默认情况下，为 master CRL 创建一个 master CRL 发布点，其中包含证书管理器的所有撤销证书列表。

要创建新发布点，请执行以下操作：

打开证书系统控制台。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
pkiconsole https://server.example.com:8443/ca
```
```
pkiconsole https://server.example.com:8443/ca
```
注意
pkiconsole 已被弃用。
在 Configuration 选项卡中，从左侧导航菜单中展开 Certificate Manager。然后选择 CRL 颁发点。
要编辑发布点，请选择发布点，然后单击 Edit。唯一可编辑的参数是发布点的名称，以及发布点是启用或禁用的。
要添加问题点，请单击 Add。CRL Issuing Point Editor 窗口将打开。
图 7.2. CRL 发布点编辑器
注意
如果某些字段不足以读取内容，请通过拖动其中一个角来扩展窗口。
填写以下字段：
- 启用。如果选中，启用问题点；取消选择以禁用。
- CRL 颁发点名称.为发布点指定名称；不允许空格。
- 描述.描述问题点。
点 OK。

要查看并配置新的发布点，请关闭 CA 控制台，然后再次打开控制台。新的发行点列在导航树中的 CRL Issuing Points 条目下。

为新的发布点配置 CRL，并设置与 CRL 搭配使用的任何 CRL 扩展。有关配置发行点的详情，请查看第 7.3.2 节 “为每个发布点配置 CRL”。有关设置 CRL 扩展的详情，请参阅第 7.3.3 节 “设置 CRL 扩展”。所有创建的 CRL 都会出现在代理服务页的 Update Revocation List 页面中。

7.3.2. 为每个发布点配置 CRL

为发布点配置信息，如生成间隔、CRL 版本、CRL 扩展和签名算法。必须为每个发布点配置 CRL。

打开 CA 控制台。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
pkiconsole https://server.example.com:8443/ca
```
```
pkiconsole https://server.example.com:8443/ca
```
注意
pkiconsole 已被弃用。
在导航树中，选择 Certificate Manager，然后选择 CRL Issuing Points。
选择 Issuing Points 条目下的问题点名称。
通过在 Update 选项卡中提供信息来配置 CRL 的更新频率和频率。此选项卡有两个部分： Update Schema 和 Update Frequency。
- Update Schema 部分有以下选项：
  - 启用 CRL 生成。此复选框设定是否为该发布点生成 CRL。
  - 生成完整的 CRL 每个 # delta (s)。此字段设置与更改数量相关的创建 CRL 的频率。
  - 使用 完整的 CRL 扩展下一次更新时间。这提供了在生成的 CRL 中设置 nextUpdate 字段的选项。nextUpdate 参数显示发布下一个 CRL 时的日期，无论它是完整的或 delta CRL。当使用 full 和 delta CRL 的组合时，在完整的 CRL 中启用扩展下一次更新时间 时，将在下一个完整的 CRL 中显示 nextUpdate 参数。否则，完整的 CRL 中的 nextUpdate 参数将显示发布下一个 delta CRL 时，因为 delta 将是要发布的下一个 CRL。
- 当生成 CRL 并发布到目录时，Update Frequency 部分会设置不同的间隔。
  - 每次证书被撤销或从中释放时。这会将证书管理器设置为在每次撤销证书时生成 CRL。证书管理器会在生成时尝试向配置的目录发出 CRL。如果 CRL 较大，生成 CRL 可能会消耗时间。将证书管理器配置为在每次撤销证书时生成 CRL，可能会持续与服务器联系；在此期间，服务器将无法使用它收到的任何更改来更新目录。
    不建议在标准安装中使用这个设置。应选择此选项以立即测试撤销，例如测试服务器是否向平面文件发出 CRL。
  - 更新位于的 CRL。此字段会在应更新 CRL 时设置每日时间。要指定多次，请输入逗号分隔的次数，如 01:50,04:55,06:55。要输入多个天数的调度，请输入以逗号分隔的列表来在同一天内设置时间，然后是一个分号分隔的列表，以标识不同天数的时间。例如，这会对周期的第 1 天（第 1 天）、50am、4:55am 和 6:55am，第 2 天（第 2 天、5am 和 5pm）进行撤销：
    Copy to Clipboard Toggle word wrap
    01:50,04:55,06:55;02:00,05:00,17:00
  - 更新每个的 CRL。此复选框允许在字段中设置的间隔生成 CRL。例如，若要每天发出 CRL，请选中复选框，然后在此字段中输入 1440。
  - 下一次更新宽限期。如果证书管理器以特定频率更新 CRL，则可以将服务器配置为在下次更新的时间具有宽限期，以允许时间创建 CRL 并发出它。例如，如果服务器配置为每 20 分钟更新 CRL，宽限期为 2 分钟，如果 CRL 在 16:00 更新，则 CRL 会再次更新为 16:18。
重要
由于一个已知问题，当当前设置 full 和 delta Certificate Revocation List 调度时，每次从 hold 选项撤销或释放证书时，还会要求您填写两个 宽限期 设置。因此，要选择这个选项，您需要首先选择 Update CRL every 选项，并为 Next update grace period # 分钟 框输入一个数字。
Cache 选项卡设置是否启用缓存以及缓存频率。
图 7.3. CRL cache 标签页
- 启用 CRL 缓存。此复选框启用缓存，用于创建 delta CRL。如果禁用了缓存，则不会创建 delta CRLs。有关缓存的详情，请参考第 7.1 节 “关于撤销证书”。
- 更新每个的缓存。此字段设置缓存写入内部数据库的频率。设置为 0， 在每次撤销证书时将缓存写入数据库。
- 启用缓存恢复。此复选框允许恢复缓存。
- 启用 CRL 缓存测试。此复选框为特定 CRL 发布点启用 CRL 性能测试。使用此选项生成的 CRL 不应在部署的 CA 中使用，因为为测试而发布的 CRL 包含只针对性能测试而生成的数据。
Format 选项卡设置创建的 CRL 的格式和内容。有两个部分： CRL 格式 和 CRL 内容。
图 7.4. CRL 格式标签页
- CRL Format 部分有两个选项：
  - 吊销列表签名算法 是允许密码加密 CRL 的下拉列表。
  - 允许 CRL v2 的扩展 是一个复选框，它为发出点启用 CRL v2 扩展。如果启用了此项，请设置第 7.3.3 节 “设置 CRL 扩展” 中描述的所需的 CRL 扩展。

注意

必须打开扩展来创建 delta CRL。

CRL Contents 部分有三个复选框，它设定要在 CRL 中包含的证书类型：
- 包括过期的证书。这包括已撤销的证书。如果启用，证书过期后，有关撤销的证书的信息保留在 CRL 中。如果没有启用此功能，则在证书过期时会删除撤销的证书的信息。
- 仅 CA 证书。这仅包含 CRL 中的 CA 证书。选择这个选项会创建一个授权撤销列表(ARL)，它只列出撤销的 CA 证书。
- 根据配置文件发布的证书。这只包含根据列出的配置集发布的证书 ; 要指定多个配置集，请输入以逗号分隔的列表。
  1. 点击 Save。
  2. 此发布点允许扩展，并可配置。详情请查看第 7.3.3 节 “设置 CRL 扩展”。

7.3.3. 设置 CRL 扩展

注意

只有为该发出点选择了 Allow extensions for CRL v2 复选框时，才需要为发布点配置扩展。

创建发行点时，会自动启用三个扩展： CRLReason、InvalidityDate 和 CRLNumber。其他扩展可用，但默认禁用。这些可以被启用和修改。有关可用的 CRL 扩展的更多信息，请参阅第 B.4.2 节 “标准 X.509 v3 CRL 扩展参考”。

要配置 CRL 扩展，请执行以下操作：

打开 CA 控制台。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
pkiconsole https://server.example.com:8443/ca
```
```
pkiconsole https://server.example.com:8443/ca
```
注意
pkiconsole 已被弃用。
在导航树中，选择 Certificate Manager，然后选择 CRL Issuing Points。
选择 Issuing Points 条目下的问题点名称，然后在发出点下选择 CRL 扩展 条目。
右侧窗格显示 CRL Extensions Management 选项卡，它列出了配置的扩展。
图 7.5. CRL 扩展
要修改规则，请选择它，然后单击 Edit/View。
大多数扩展有两个选项，启用它们并设置它们是否至关重要。有些需要更多信息。提供所有必需的值。有关每个扩展以及这些扩展的参数的完整信息，请参阅第 B.4.2 节 “标准 X.509 v3 CRL 扩展参考”。
点 OK。
点 Refresh 查看所有规则的更新状态。

7.3.4. 将 CA 设置为使用不同的证书为 CRL 进行签名

有关如何通过编辑 CS.cfg 文件配置此功能的说明，请参阅 Red Hat Certificate System 规划、安装和部署指南中的设置 CA 以使用不同的证书进行签名 CRL 部分。

7.3.5. 从缓存生成 CRL

默认情况下，CRL 从 CA 的内部数据库生成。但是，可以收集撤销信息，因为证书被撤销并保留在内存中。然后，可以使用此撤销信息从内存中更新 CRL。绕过从内部数据库生成 CRL 所需的数据库搜索可显著提高性能。

注意

由于从缓存生成 CRL 的性能增强，在大多数环境中启用 enableCRLCache 参数。但是，在生产环境中不应启用 Enable CRL cache testing 参数。

在控制台中从缓存中配置 CRL 生成

打开控制台。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
pkiconsole https://server.example.com:8443/ca
```
```
pkiconsole https://server.example.com:8443/ca
```
注意
pkiconsole 已被弃用。
在 Configuration 选项卡中，展开 Certificate Manager 文件夹和 CRL Issuing Points 子文件夹。
选择 MasterCRL 节点。
选择 Enable CRL cache。
保存更改。

从 CS.cfg 中的缓存配置 CRL 生成

有关如何通过编辑 CS.cfg 文件配置此功能的说明，请参阅 Red Hat Certificate System Planning , Installation, and Deployment Guide 中的 Configuring CRL Generation in CS.cfg 部分。

返回顶部

7.3. 发布 CRL

7.3.1. 配置发布点

7.3.2. 为每个发布点配置 CRL

7.3.3. 设置 CRL 扩展

7.3.4. 将 CA 设置为使用不同的证书为 CRL 进行签名

7.3.5. 从缓存生成 CRL

在控制台中从缓存中配置 CRL 生成

从 CS.cfg 中的缓存配置 CRL 生成

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links