B.4. CRL 扩展
B.4.1. 关于 CRL 扩展
ANSI X9 和 ISO/IEC/ITU 为 X.509 CRLs [X.509] [X9.55] 定义的扩展允许额外的属性与 CRL 关联。RFC 5280 提供了 互联网 X.509 公钥基础架构证书和 CRL 配置文件,建议在 CRL 中使用一组扩展。这些扩展称为 标准 CRL 扩展。
标准还允许创建自定义扩展,并包含在 CRL 中。这些扩展称为 私有、专有 或自定义 CRL 扩展,并针对组织或业务执行信息。应用程序可能无法验证包含私有关键扩展的 CRL,因此不建议在一般上下文中使用自定义扩展。
注意
抽象语法 Notation One (ASN.1)和 Distinguished Encoding Rules (DER)标准在 CCITT Recommendations X.208 和 X.209 中指定。有关 ASN.1 和 DER 的快速摘要,请参阅 Lay man's Guide to a Subset of ASN.1, BER, 和 DER,该指南位于 RSA theoratories' http://www.rsa.com。
B.4.1.1. CRL 扩展的结构
CRL 扩展由以下部分组成:
- 扩展的对象标识符(OID)。此标识符唯一标识扩展。它还决定 value 字段中值的 ASN.1 类型以及如何解释值。当一个扩展出现在 CRL 中时,OID 显示为扩展 ID 字段(extnID),相应的 ASN.1 编码结构显示为 octet 字符串的值(extnValue); 示例显示在 例 B.4 “Pretty-Print 证书扩展示例” 中。
- 名为 critical 的标志或布尔值字段。分配给此字段的 true 或 false 值指示扩展对 CRL 是关键还是不重要。
- 如果扩展至关重要,并且 CRL 发送到不根据扩展的 ID 了解扩展的应用程序,应用程序必须拒绝 CRL。
- 如果扩展不重要,并且 CRL 发送到不根据扩展 ID 了解扩展的应用程序,应用程序可以忽略扩展并接受 CRL。
- 包含扩展名值的 DER 编码的 octet 字符串。
接收 CRL 的应用会检查扩展 ID,以确定它是否可以识别 ID。如果它可以,它可以使用扩展 ID 来决定所使用的值类型。
B.4.1.2. CRL 和 CRL 条目扩展示例
以下是 X.509 CRL 版本 2 扩展的示例。证书系统可以以可读的用户打印格式显示 CRL,如下所示。如示例所示,CRL 扩展按顺序出现,每个 CRL 只能有一个特定扩展的实例。例如,CRL 只能包含一个授权密钥标识符扩展。但是,CRL-entry 扩展会出现在 CRL 中的相应条目中。
Certificate Revocation List:
Data:
Version: v2
Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
Issuer: CN=Certificate Authority,O=Example Domain
This Update: Wednesday, July 29, 2009 8:59:48 AM GMT-08:00
Next Update: Friday, July 31, 2009 8:59:48 AM GMT-08:00
Revoked Certificates: 1-3 of 3
Serial Number: 0x11
Revocation Date: Thursday, July 23, 2009 10:07:15 AM GMT-08:00
Extensions:
Identifier: Revocation Reason - 2.5.29.21
Critical: no
Reason: Privilege_Withdrawn
Serial Number: 0x1A
Revocation Date: Wednesday, July 29, 2009 8:50:11 AM GMT-08:00
Extensions:
Identifier: Revocation Reason - 2.5.29.21
Critical: no
Reason: Certificate_Hold
Identifier: Invalidity Date - 2.5.29.24
Critical: no
Invalidity Date: Sun Jul 26 23:00:00 GMT-08:00 2009
Serial Number: 0x19
Revocation Date: Wednesday, July 29, 2009 8:50:49 AM GMT-08:00
Extensions:
Identifier: Revocation Reason - 2.5.29.21
Critical: no
Reason: Key_Compromise
Identifier: Invalidity Date - 2.5.29.24
Critical: no
Invalidity Date: Fri Jul 24 23:00:00 GMT-08:00 2009
Extensions:
Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
Critical: no
Access Description:
Method #0: ocsp
Location #0: URIName: http://example.com:9180/ca/ocsp
Identifier: Issuer Alternative Name - 2.5.29.18
Critical: no
Issuer Names:
DNSName: example.com
Identifier: Authority Key Identifier - 2.5.29.35
Critical: no
Key Identifier:
50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
0F:F8:30:60
Identifier: Freshest CRL - 2.5.29.46
Critical: no
Number of Points: 1
Point 0
Distribution Point: [URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getDeltaCRL&crlIssuingPoint=MasterCRL]
Identifier: CRL Number - 2.5.29.20
Critical: no
Number: 39
Identifier: Issuing Distribution Point - 2.5.29.28
Critical: yes
Distribution Point:
Full Name:
URIName: http://example.com:9180/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
Only Contains User Certificates: no
Only Contains CA Certificates: no
Indirect CRL: no
Signature:
Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
Signature:
47:D2:CD:C9:E5:F5:9D:56:0A:97:31:F5:D5:F2:51:EB:
1F:CF:FA:9E:63:D4:80:13:85:E5:D8:27:F0:69:67:B5:
89:4F:59:5E:69:E4:39:93:61:F2:E3:83:51:0B:68:26:
CD:99:C4:A2:6C:2B:06:43:35:36:38:07:34:E4:93:80:
99:2F:79:FB:76:E8:3D:4C:15:5A:79:4E:E5:3F:7E:FC:
D8:78:0D:1D:59:A0:4C:14:42:B7:22:92:89:38:3A:4C:
4A:3A:06:DE:13:74:0E:E9:63:74:D0:2F:46:A1:03:37:
92:F0:93:D9:AA:F8:13:C5:06:25:02:B0:FD:3B:41:E7:
62:6F:67:A3:9F:F5:FA:03:41:DA:8D:FD:EA:2F:E3:2B:
3E:F8:E9:CC:3B:9F:E4:ED:73:F2:9E:B9:54:14:C1:34:
68:A7:33:8F:AF:38:85:82:40:A2:06:97:3C:B4:88:43:
7B:AF:5D:87:C4:47:63:4A:11:65:E3:75:55:4D:98:97:
C2:2E:62:08:A4:04:35:5A:FE:0A:5A:6E:F1:DE:8E:15:
27:1E:0F:87:33:14:16:2E:57:F7:DC:77:BE:D2:75:AB:
A9:7C:42:1F:84:6D:40:EC:E7:ED:84:F8:14:16:28:33:
FD:11:CD:C5:FC:49:B7:7B:39:57:B3:E6:36:E5:CD:B6
delta CRL 是 CRL 的子集,仅包含自上次 CRL 发布以来的更改。任何包含 delta CRL 指示符扩展的 CRL 都是一个 delta CRL。
ertificate Revocation List:
Data:
Version: v2
Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
Issuer: CN=Certificate Authority,O=SjcRedhat Domain
This Update: Wednesday, July 29, 2009 9:02:28 AM GMT-08:00
Next Update: Thursday, July 30, 2009 9:02:28 AM GMT-08:00
Revoked Certificates:
Serial Number: 0x1A
Revocation Date: Wednesday, July 29, 2009 9:00:48 AM GMT-08:00
Extensions:
Identifier: Revocation Reason - 2.5.29.21
Critical: no
Reason: Remove_from_CRL
Serial Number: 0x17
Revocation Date: Wednesday, July 29, 2009 9:02:16 AM GMT-08:00
Extensions:
Identifier: Revocation Reason - 2.5.29.21
Critical: no
Reason: Certificate_Hold
Identifier: Invalidity Date - 2.5.29.24
Critical: no
Invalidity Date: Mon Jul 27 23:00:00 GMT-08:00 2009
Extensions:
Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
Critical: no
Access Description:
Method #0: ocsp
Location #0: URIName: http://server.example.com:8443/ca/ocsp
Identifier: Delta CRL Indicator - 2.5.29.27
Critical: yes
Base CRL Number: 39
Identifier: Issuer Alternative Name - 2.5.29.18
Critical: no
Issuer Names:
DNSName: a-f8.sjc.redhat.com
Identifier: Authority Key Identifier - 2.5.29.35
Critical: no
Key Identifier:
50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
0F:F8:30:60
Identifier: CRL Number - 2.5.29.20
Critical: no
Number: 41
Identifier: Issuing Distribution Point - 2.5.29.28
Critical: yes
Distribution Point:
Full Name:
URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
Only Contains User Certificates: no
Only Contains CA Certificates: no
Indirect CRL: no
Signature:
Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
Signature:
68:28:DA:90:D5:39:CB:6D:BE:42:04:77:C9:E4:09:60:
C1:97:A6:99:AB:A0:5B:A2:F3:8B:5E:4E:D6:05:70:B0:
87:1F:D7:0E:4B:C6:B2:DE:8B:92:D8:7C:3B:36:1C:79:
96:2A:64:E6:7A:25:1D:E7:40:62:48:7A:24:C9:9D:11:
A6:7F:BB:6B:03:A0:9C:1D:BC:1C:EE:9A:4B:A6:48:2C:
3B:5E:2B:B1:70:3C:C3:42:96:28:26:AB:82:18:F2:E9:
F2:55:48:A8:7E:7F:FE:D4:3D:0B:EA:A2:2F:4E:E6:C3:
C3:C1:6A:E5:C6:85:5B:42:B1:70:2A:C6:E1:D9:0C:AF:
DA:01:22:FF:80:6E:2E:A7:E5:34:DC:AF:E6:C2:B5:B3:
1B:FC:28:36:8A:91:4A:22:E7:03:A5:ED:4E:62:0C:D9:
7F:81:BB:80:99:B8:61:2A:02:C6:9C:41:2E:01:82:21:
80:82:69:52:BD:B2:AA:DB:0F:80:0A:7E:2A:F3:15:32:
69:D2:40:0D:39:59:93:75:A2:ED:24:70:FB:EE:19:C0:
BE:A2:14:36:D0:AC:E8:E2:EE:23:83:DD:BC:DF:38:1A:
9E:37:AF:E3:50:D9:47:9D:22:7C:36:35:BF:13:2C:16:
A2:79:CF:05:41:88:8E:B6:A2:4E:B3:48:6D:69:C6:38B.4.2. 标准 X.509 v3 CRL 扩展参考
B.4.2.1. CRL 的扩展
以下 CRL 描述定义为互联网 X.509 v3 公钥基础架构建议的标准的一部分。
B.4.2.1.1. authorityInfoAccess
授权信息访问扩展标识如何获取 delta CRL 信息。newestCRL 扩展放在完整的 CRL 中,以指示在哪里查找最新的 delta CRL。
| 参数 | 描述 |
|---|---|
| enable | 指定规则是否启用或禁用。默认值为禁用此扩展。 |
| critical | 设置扩展是否标记为关键;默认值为非关键。 |
| numberOfAccessDescriptions |
表示访问描述的数量,从 0 到任意正整数;默认值为 0。
当将此参数设置为 0 以外的整数时,设置数字,然后单击 OK 以关闭窗口。重新打开规则的编辑窗口,以及设置点的字段将存在。
|
| accessMethodn | 此参数唯一接受的值是 caIssuers。当可用信息列表可用于验证 CRL 上的签名的证书时,会使用 caIssuers 方法。当 CRL 中包含 AIA 扩展时,不应使用其他方法。 |
| accessLocationTypen | 指定 n 访问描述的访问位置类型。选项可以是 DirectoryName 或 URI。 |
| accessLocationn |
如果将 accessLocationType 设置为 DirectoryName,则该值必须是字符串,格式为 X.500 名称,类似于证书中的主题名称。例如: CN=CACentral,OU=Research Dept,O=Example company,C=US。
如果 accessLocationType 设为 URI,则名称必须是 URI;URI 必须是绝对路径,且必须指定主机。例如: http://testCA.example.com/get/crls/here/。
|
B.4.2.1.2. authorityKeyIdentifier
CRL 的授权密钥标识符扩展标识与用于为 CRL 签名的私钥对应的公钥。详情请查看 第 B.3.2 节 “authorityKeyIdentifier” 中的证书扩展中的讨论。
PKIX 标准建议 CA 必须在所有 CRL 中包括此扩展,因为 CA 的公钥可能会改变,例如,当密钥被更新时,或者 CA 可能存在多个签名密钥,因为多个并发密钥对或密钥更改。在这些情况下,CA 以多个密钥对结束。在证书上验证签名时,其他应用程序需要知道在签名中使用哪个密钥。
| 参数 | 描述 |
|---|---|
| enable | 指定规则是否启用或禁用。默认值为禁用此扩展。 |
| critical | 设置扩展是否标记为关键;默认值为非关键。 |
B.4.2.1.3. CRLNumber
CRLNumber 扩展指定 CA 发布的每个 CRL 的连续数字。它允许用户轻松确定何时将特定的 CRL 取代另一个 CRL。PKIX 要求所有 CRL 都具有此扩展。
OID
2.5.29.20
严重性
这个扩展不能至关重要。
参数
| 参数 | 描述 |
|---|---|
| enable | 指定是否启用了规则,这是默认设置。 |
| critical | 设置扩展是否标记为关键;默认值为非关键。 |
B.4.2.1.4. deltaCRLIndicator
deltaCRLIndicator 扩展生成 delta CRL,仅包含从最后一个 CRL 吊销的证书列表,还包括对基础 CRL 的引用。这会更新本地数据库,同时忽略已存在于本地数据库中的未更改的信息。这可以显著提高以 CRL 结构以外的格式存储撤销信息的应用程序处理时间。
OID
2.5.29.27
严重性
PKIX 要求如果扩展存在,则此扩展至关重要。
参数
| 参数 | 描述 |
|---|---|
| enable | 设置是否启用了规则。默认情况下,它被禁用。 |
| critical | 设置扩展是否为关键还是非关键。默认情况下,这很重要。 |
B.4.2.1.5. FreshestCRL
newestCRL 扩展标识如何获取 delta CRL 信息。newestCRL 扩展放在完整的 CRL 中,以指示在哪里查找最新的 delta CRL。
OID
2.5.29.46
严重性
PKIX 要求此扩展必须为非关键。
参数
| 参数 | 描述 |
|---|---|
| enable | 设置是否启用了扩展规则。默认情况下禁用此设置。 |
| critical | 将扩展标记为 critical 或 noncritical。默认值为 noncritical。 |
| numPoints | 表示 delta CRL 的发布点数量,从 0 到任意正整数;默认值为 0。当将其设置为 0 以外的整数时,设置数字,然后单击 以关闭窗口。重新打开规则的编辑窗口,以及设置这些点的字段将存在。 |
| pointTypen | 指定 n emit 点的发布点的类型。对于 numPoints 中指定的每个数字,有相等的 pointType 参数数。选项可以是 DirectoryName 或 URIName。 |
| pointNamen |
如果将 pointType 设置为 directoryName,则该值必须是 X.500 名称形式的字符串,类似于证书中的主题名称。例如: CN=CACentral,OU=Research Dept,O=Example company,C=US。
如果 pointType 设为 URIName,则名称必须是 URI;URI 必须是绝对路径,且必须指定主机。例如: http://testCA.example.com/get/crls/here/。
|
B.4.2.1.6. issuerAltName
Issuer Alternative Name 扩展允许额外的身份与 CRL 的签发者关联,如绑定属性,如电子邮件地址、DNS 名称、IP 地址(IPv4 和 IPv6),以及一个统一的资源指示器(URI),以及 CRL 签发者。详情请查看 第 B.3.7 节 “issuerAltName 扩展” 中的证书扩展中的讨论。
OID
2.5.29.18
参数
| 参数 | 描述 |
|---|---|
| enable | 设置是否启用了扩展规则;默认情况下,这是禁用的。 |
| critical | 设置扩展是否至关重要;默认情况下,这并不重要。 |
| numNames | 设置扩展中允许的备用名称或身份总数。每个名称都有一组配置参数,nameType 和 name,它们必须具有适当的值,否则规则会返回错误。通过更改此字段中指定的值来更改身份总数 ; 扩展中包含的身份总数没有限制。每个配置参数集合都通过从此字段值派生的整数来区分。例如,如果 numNames 参数设置为 2,则派生的整数为 0 和 1。 |
| nameTypen |
指定常规名称类型 ; 可以是以下任意一种:
|
| Namen |
指定 general-name 值;允许的值取决于 nameType 字段中指定的名称类型。
|
B.4.2.1.7. issuingDistributionPoint
颁发发布点 CRL 扩展标识特定 CRL 的 CRL 发布点,并指示它涵盖的撤销类型,如只撤销最终证书、仅 CA 证书或撤销具有有限原因代码的证书。
PKIX Part 我不需要此扩展。
OID
2.5.29.28
严重性
PKIX 要求如果扩展存在,则此扩展至关重要。
参数
| 参数 | 描述 |
|---|---|
| enable | 设置是否启用了扩展;默认禁用。 |
| critical | 将扩展标记为 critical、default 或 noncritical。 |
| pointType |
指定来自以下内容的发布发布点的类型:
|
| pointName |
提供发布发布点的名称。发行版点的名称取决于为 pointType 参数指定的值。
注意
CRL 可以存储在与 CRL 发布点对应的目录中,该条目可能与 CA 的目录条目不同。
|
| onlySomeReasons |
指定与发布点关联的原因代码。
感知值是原因代码(未指定、键组合、cACompromise 、affiliationChanged、替换 的、cessationOfOperation、certHold 和 删除FromCRL)的组合。如果发行版点包含带有所有原因代码(默认)吊销的证书,请将该字段留空。
|
| onlyContainsCACerts | 指定仅在设置时包含用户证书。默认情况下不设置,这意味着发行版点包含所有类型的证书。 |
| indirectCRL | 指定发行版点包含间接 CRL;默认情况下,不会选择。 |
B.4.2.2. CRL 条目扩展
以下章节列出了定义为互联网 X.509 v3 公钥基础架构建议标准一部分的 CRL 条目扩展类型。所有这些扩展都不是关键的。
B.4.2.2.1. certificateIssuer
证书签发者扩展标识与间接 CRL 中条目关联的证书签发者。
此扩展仅用于间接 CRL,不受证书系统支持。
OID
2.5.29.29
B.4.2.2.2. invalidityDate
Invalidity Date 扩展提供了私钥被泄露或证书无效的日期。
OID
2.5.29.24
参数
| 参数 | 描述 |
|---|---|
| enable | 设置扩展规则是否启用或禁用。默认情况下启用此设置。 |
| critical | 将扩展标记为 critical 或 noncritical;默认情况下,这并不重要。 |
B.4.2.2.3. CRLReason
Reason Code 扩展标识证书撤销的原因。
OID
2.5.29.21
参数
| 参数 | 描述 |
|---|---|
| enable | 设置扩展规则是否启用或禁用。默认情况下启用此设置。 |
| critical | 将扩展标记为 critical 或 noncritical。默认情况下,这不是不关键的。 |
B.4.3. Netscape-Defined 证书扩展参考
Netscape 为其产品定义了某些证书扩展。有些扩展现已过时,其他扩展已被 X.509 建议的标准中定义的扩展替代。所有 Netscape 扩展都应标记为非关键扩展,因此其证书中存在不会使证书与其他客户端不兼容。
B.4.3.1. netscape-cert-type
Netscape 证书类型扩展可用于限制可以使用证书的目的。它已被 X.509 v3 扩展 第 B.3.6 节 “extKeyUsage” 和 第 B.3.3 节 “basicConstraints”。
如果证书中存在扩展,它会将证书限制为其中指定的使用。如果没有扩展名,则证书可用于所有应用程序,但对象签名除外。
该值是一个位字符串,其中单独的位位置(在设置时)认证特定使用的证书,如下所示:
- 位 0:SSL 客户端证书
- 位 1:SSL 服务器证书
- 第 2 位:S/MIME 证书
- 第 3 位:对象签名证书
- 第 4 位: reserved
- 第 5 位:SSL CA 证书
- 位 6:S/MIME CA 证书
- 位 7:对象签名 CA 证书
OID
2.16.840.1.113730.1.1
B.4.3.2. Netscape-comment
此扩展名的值是 IA5String。这是一个注释,可在查看证书时向用户显示。
OID
2.16.840.1.113730.13
