Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

6.4. 设置完整和 delta CRL 调度

CRL 定期生成。在 第 6.3.2 节 “为每个发布点配置 CRL” 中的配置中访问该 period。

CRL 根据基于时间的调度发布。每次证书被撤销时,每次都会发布 CRL,在一个特定时间的一天或每一次进行一次。

基于时间的 CRL 生成调度适用于生成的每个 CRL。CRL 有两种,完整的 CRL 和 delta CRL。完整的 CRL 对每个撤销的证书有一条记录,而 delta CRL 仅包含生成自最后一个 CRL (增量或完整)后撤销的证书。

默认情况下,完整的 CRL 会在调度中的每个指定间隔生成。通过生成 interim delta CRL,在生成完整的 CRL 之间可能会出现时间。生成间隔在 CRL 模式中配置,它设定生成 delta 和完整 CRL 的方案。

例如,如果间隔设置为 3,则第一个生成的 CRL 将是 full 和 delta CRL,则接下来的两个更新仅是 delta CRL,然后第四个间隔为 full 和 delta CRL。换句话说,每个第三个生成间隔都有完整的 CRL 和 delta CRL。 

Interval   1, 2, 3, 4, 5, 6, 7 ...
Full CRL   1        4        7 ...
Delta CRL  1, 2, 3, 4, 5, 6, 7 ...
Copy to Clipboard Toggle word wrap
注意

要在完整的 CRL 之外生成 delta CRL,必须启用 CRL 缓存。

6.4.1. 在控制台中配置 CRL 更新间隔
复制链接

注意

pkiconsole 已被弃用,并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用,但我们鼓励在此鼓励使用命令行与 pkiconsole 等效,因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。

  1. 打开控制台。 

    # pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
    Copy to Clipboard Toggle word wrap
  2. Configuration 选项卡中,展开 Certificate Manager 文件夹和 CRL Issuing Points 子文件夹。

  3. 选择 MasterCRL 节点。

    CRL sched1
    View larger image
    CRL sched1

  4. Generate full CRL every # delta (s) 字段中输入所需的间隔。

    crl sched2
    View larger image
    crl sched2

  5. 通过指定证书撤销的消耗、循环间隔或设定时间来设置更新频率:

    • 每次证书被撤销或发布时,选择 Update CRL每次从 hold 选项撤销或发布证书时,更新 CRL 也要求您填写两个 Grace 周期 设置。这是一个已知问题,会在 Red Hat Bugzilla 中跟踪这个程序错误。
    • 每次证书被撤销或发布时,选择 Update CRL

    • 选中 Update CRL at 复选框,并输入以逗号分开的特定时间,如 01:50,04:55,06:55

      CRL updates 选项卡设定时间
      View larger image
      CRL updates 选项卡设定时间

    • 选择 Update CRL every 复选框,并输入所需的间隔,如 240

      crl updates tab2
      View larger image
      crl updates tab2
  6. 保存更改。
重要

每次从 hold 选项撤销或发布证书时,更新 CRL 也要求您填写两个 宽限期 设置。这是一个已知问题,会在 Red Hat Bugzilla 中跟踪这个程序错误。

注意

按间隔更新 CRL 时可能会发生调度偏移。通常,因为手动更新和 CA 重启,偏移会被发生。

要防止调度偏移,请选中 Update CRL at 复选框并输入一个值。间隔更新每 24 小时使用 Update CRL 重新同步。

CRL updates tab drift prevention
View larger image
CRL updates tab drift prevention

以间隔更新 CRL 时,只接受一个 Update CRL。

6.4.2. 在 CS.cfg 中为 CRL 配置更新间隔
复制链接

有关如何通过编辑 CS.cfg 文件来配置此功能的说明,请参阅 规划、安装和部署指南(Common标准版本) 中的 CS.cfg 中为 CRL 配置 更新间隔

6.4.3. 在多个天内配置 CRL 生成计划
复制链接

默认情况下,CRL 生成计划覆盖 24 小时。另外,默认情况下,当启用 full 和 delta CRL 时,会在特定间隔启用完整的 CRL 来代替一个或多个 delta CRL,即每第三个更新。

要在多个天内设置 CRL 生成调度,时间列表使用逗号在同一天内分隔时间,以及分号(limit)天: 

ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00;02:00,05:00,17:00
Copy to Clipboard Toggle word wrap

这个示例在调度的第一天更新 CRL:01:00、03:00 和 18:00,并在调度的第两天更新为 02:00、05:00 和 17:00。第三天,周期再次启动。

注意

分号表示新日。使用分号开始列表会导致初始一天生成 CRL。同样,以分号结尾列表将最后一天添加到没有生成 CRL 的调度中。两个分号一起会导致一天没有 CRL 生成。

要设置独立于 delta 更新的完整 CRL 更新,时间列表接受带有星号前的时间值,以指示是否应发生完整的 CRL 更新: 

ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00,*23:00;02:00,05:00,21:00,*23:30
Copy to Clipboard Toggle word wrap

这个示例在每天的 01:00、03:00 和 18:00 中生成 delta CRL 更新,其完整和增量 CRL 更新为 23:00。在第 2 天,delta CRL 被更新为 02:00、05:00 和 21:00,其 full 和 delta CRL 更新为 23:30。在第 3 天,周期再次启动。

注意

分号和星号语法可在 pkiconsole 和手动编辑 CS.cfg 文件中工作。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat