26.7. 配置 OCSP 回复
与 IdM 服务器集成的每个 CA 使用内部在线证书状态协议(OCSP)响应程序。允许访问 OCSP 响应器的 IdM 服务位于
http://ca-server.example.com/ca/ocsp
中。客户端可以连接到此 URL 以检查证书的有效性。
注意
有关 OCSP 的详情,请查看 Red Hat 证书系统文档。例如: 2.2.4。撤销 计划、安装和部署指南中的 证书和检查状态。
26.7.1. 更改 CRL 更新间隔
默认情况下,IdM CA 会每四个小时自动生成 CRL 文件。更改这个间隔:
- 停止 CA 服务器。
# systemctl stop pki-tomcatd@pki-tomcat.service
- 打开
/var/lib/pki/pki-tomcat/conf/ca/CS.cfg
文件,并将ca.crl.MasterCRL.autoUpdateInterval
值改为新的 interval 设置。例如,要每 60 分钟生成 CRL:ca.crl.MasterCRL.autoUpdateInterval=60
注意如果您更新ca.crl.MasterCRL.autoUpdateInterval
参数,则更改将在下一次调度的 CRL 更新后生效。 - 启动 CA 服务器。
# systemctl start pki-tomcatd@pki-tomcat.service