7.3. 发布 CRL


  1. 证书管理器使用其 CA 签名证书密钥来签署 CRL。要将单独的签名密钥对用于 CRL,请设置 CRL 签名密钥并更改证书管理器配置以使用此密钥为 CRL 签名。请参阅 第 7.3.4 节 “将 CA 设置为使用不同的证书来签名 CRL” 了解更多信息。
  2. 设置 CRL 发布点。为 master CRL 设置并启用问题点。

    图 7.1. 默认 CRL 颁发点

    默认 CRL 颁发点
    可以创建 CRL 的额外发布点。详情请查看 第 7.3.1 节 “配置颁发点”
    发布点可以创建五类 CRL,具体取决于配置发布点时设置的选项来定义 CRL 将列出的内容:
    • Master CRL 包含从整个 CA 中撤销的证书列表。
    • ARL 是一个仅包含撤销的 CA 证书的授权撤销列表。
    • 带有过期证书的 CRL 包括 CRL 中已过期的证书。
    • 来自证书配置文件的 CRL 决定基于最初创建证书的配置集来包括撤销的证书。
    • 按原因代码的 CRLs 根据吊销原因代码决定撤销的证书。
  3. 为每个发布点配置 CRL。详情请查看 第 7.3.2 节 “为每个颁发点配置 CRL”
  4. 设置为发布点配置的 CRL 扩展。详情请查看 第 7.3.3 节 “设置 CRL 扩展”
  5. 通过为该发布点启用扩展,为发布点、Broata CRLIndicator 或 CRL Number 启用扩展来为发布点设置 delta CRL。
  6. 设置 CRLDistributionPoint 扩展,使其包含有关发布点的信息。
  7. 将 CRL 设置为文件、LDAP 目录或 OCSP 响应器。有关设置发布的详情,请查看 第 9 章 发布证书和 CRL

7.3.1. 配置颁发点

发布点定义在新 CRL 中包含哪些证书。默认情况下,为 master CRL 创建一个 master CRL 发布点,其中包含证书管理器的所有撤销证书列表。
要创建新发布点,请执行以下操作:
  1. 打开证书系统控制台。
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡中,从左侧导航菜单中展开 Certificate Manager。然后选择 CRL Issuing Points
  3. 若要编辑问题点,请选择发布点,然后单击 Edit。唯一可编辑的参数是发布点的名称,以及发布点是启用或禁用的。
    要添加发布点,请单击 Add。CRL Issuing Point Editor 窗口将打开。

    图 7.2. CRL 颁发点编辑器

    CRL 颁发点编辑器
    注意
    如果某些字段不足以读取内容,请通过拖动其中一个角来扩展窗口。
    填写以下字段:
    • 启用。如果选中,启用问题点;取消选择以禁用。
    • CRL 颁发点名称。为发布点指定名称;不允许空格。
    • 描述.描述问题点。
  4. 确定
要查看并配置新的发布点,请关闭 CA 控制台,然后再次打开控制台。新的问题点列在导航树中 CRL Issuing Points 条目下方。
为新的发布点配置 CRL,并设置与 CRL 搭配使用的任何 CRL 扩展。有关配置发布点的详情,请查看 第 7.3.2 节 “为每个颁发点配置 CRL”。有关设置 CRL 扩展的详情,请参阅 第 7.3.3 节 “设置 CRL 扩展”。创建的所有 CRL 都会出现在代理服务页面的 Update Revocation List 页面中。
注意
pkiconsole 已被弃用。

7.3.2. 为每个颁发点配置 CRL

为发布点配置信息,如生成间隔、CRL 版本、CRL 扩展和签名算法。必须为每个发布点配置 CRL。
  1. 打开 CA 控制台。
    pkiconsole https://server.example.com:8443/ca
  2. 在导航树中,选择 Certificate Manager,然后选择 CRL Issuing Points
  3. 选择 Issuing Points 条目下的发布点名称。
  4. 通过在 Update 选项卡中提供发布点的信息来配置 CRL 如何和频率更新。此选项卡有两个部分: Update SchemaUpdate Frequency
    • Update Schema 部分有以下选项:
      • 启用 CRL 生成。此复选框设定是否为该发布点生成 CRL。
      • 生成一个完整的 CRL 增量。此字段设置与更改数量相关的创建 CRL 的频率。
      • 完整 CRL 中延长下一次更新时间。这提供了一个选项,用于在生成的 CRL 中设置 nextUpdate 字段。nextUpdate 参数显示发布下一个 CRL 时的日期,无论它是完整还是 delta CRL。当使用 full 和 delta CRL 的组合时,在完整 CRL 中启用 扩展下一次更新时间将在完整 CRL 中进行 下一个Update 参数,当下一次完整 CRL 将被发布时,将生成完整的 CRL 参数。否则,完整的 CRL 中的 nextUpdate 参数将在发布下一个 delta CRL 时显示,因为 delta 将是要发布的下一个 CRL。
    • Update Frequency 部分在生成 CRL 并发布到目录时设置不同的间隔。
      • 每次从暂停中撤销或发布证书时。这会将证书管理器设置为在每次撤销证书时生成 CRL。证书管理器会在生成时尝试向配置的目录发出 CRL。如果 CRL 较大,生成 CRL 可能会消耗时间。将证书管理器配置为在每次撤销证书时生成 CRL,可能会持续与服务器联系;在此期间,服务器将无法使用它收到的任何更改来更新目录。
        不建议在标准安装中使用这个设置。应选择此选项以立即测试撤销,例如测试服务器是否向平面文件发出 CRL。
      • 更新位于 的 CRL。此字段会在应更新 CRL 时设置每日时间。要指定多次,请输入逗号分隔列表,如 01:50,04:55,06:55。要输入多个天数的调度,请输入以逗号分隔的列表来在同一天内设置时间,然后是一个分号分隔的列表,以标识不同天数的时间。例如,这会对周期的第 1 天(第 1 天)、50am、4:55am 和 6:55am,第 2 天(第 2 天、5am 和 5pm)进行撤销:
        01:50,04:55,06:55;02:00,05:00,17:00
      • 各自更新 CRL。此复选框允许在字段中设置的间隔生成 CRL。例如,要每天发布 CRL,请选中复选框,然后在此字段中输入 1440
      • 下一次更新宽限期。如果证书管理器以特定频率更新 CRL,则可以将服务器配置为在下次更新的时间具有宽限期,以允许时间创建 CRL 并发出它。例如,如果服务器配置为每 20 分钟更新 CRL,宽限期为 2 分钟,如果 CRL 在 16:00 更新,则 CRL 会再次更新为 16:18。
    重要
    由于一个已知问题,当当前设置 full 和 delta Certificate Revocation List 调度时,每次从 hold 选项撤销或发布证书时,更新 CRL 都需要您填写两个 宽限期 设置。因此,要选择这个选项,您需要首先选择 Update CRL per 选项,并为 Next update grace period 一 分钟 输入数字。
  5. Cache 选项卡设置缓存是否已启用以及缓存频率。

    图 7.3. CRL Cache Tab

    CRL Cache Tab
    • 启用 CRL 缓存。此复选框启用缓存,用于创建 delta CRL。如果禁用了缓存,则不会创建 delta CRLs。有关缓存的详情请参考 第 7.1 节 “关于撤销证书”
    • 按更新缓存。此字段设置缓存写入内部数据库的频率。设置为 0, 以便在每次撤销证书时都会将缓存写入数据库。
    • 启用缓存恢复。此复选框允许恢复缓存。
    • 启用 CRL 缓存测试。此复选框为特定 CRL 发布点启用 CRL 性能测试。使用此选项生成的 CRL 不应在部署的 CA 中使用,因为为测试而发布的 CRL 包含只针对性能测试而生成的数据。
  6. Format 选项卡设置创建的 CRL 的格式和内容。CRL 格式和 CRL 内容有两个部分

    图 7.4. CRL Format Tab

    CRL Format Tab
    • CRL Format 部分有两个选项:
      • 吊销列表签名算法 是允许密码加密 CRL 的下拉列表。
      • 允许 CRL v2 的扩展 是一个复选框,它为发布点启用 CRL v2 扩展。如果启用此功能,请设置 第 7.3.3 节 “设置 CRL 扩展” 中描述的所需的 CRL 扩展。
      注意
      必须打开扩展来创建 delta CRL。
    • CRL 内容 部分有三个复选框,用于设置 CRL 中包含的证书类型:
      • 包括过期的证书。这包括已撤销的证书。如果启用,证书过期后,有关撤销的证书的信息保留在 CRL 中。如果没有启用此功能,则在证书过期时会删除撤销的证书的信息。
      • 仅限 CA 证书。这仅包含 CRL 中的 CA 证书。选择这个选项会创建一个授权撤销列表(ARL),它只列出撤销的 CA 证书。
      • 根据配置文件发布的证书。这只包含根据列出的配置集发布的证书 ; 要指定多个配置集,请输入以逗号分隔的列表。
  7. 点击 Save
  8. 此发布点允许扩展,并可配置。详情请查看 第 7.3.3 节 “设置 CRL 扩展”
注意
pkiconsole 已被弃用。

7.3.3. 设置 CRL 扩展

注意
只有为有问题的点选择了 Allow extensions for CRLs v2 复选框,则仅需要为发布点配置扩展。
创建问题点时,会自动启用三个扩展: CRLReasonInvalidityDateCRLNumber。其他扩展可用,但默认禁用。这些可以被启用和修改。有关可用的 CRL 扩展的更多信息,请参阅 ???
要配置 CRL 扩展,请执行以下操作:
  1. 打开 CA 控制台。
    pkiconsole https://server.example.com:8443/ca
  2. 在导航树中,选择 Certificate Manager,然后选择 CRL Issuing Points
  3. 选择 Issuing Points 条目下的发布点名称,然后选择发布点下的 CRL 扩展 条目。
    右侧窗格显示 CRL Extensions Management 选项卡,它列出了配置的扩展。

    图 7.5. CRL 扩展

    CRL 扩展
  4. 若要修改规则,请选择它,然后单击 Edit/View
  5. 大多数扩展有两个选项,启用它们并设置它们是否至关重要。有些需要更多信息。提供所有必需的值。有关每个扩展以及这些扩展的参数的完整信息,请参阅 ???
  6. 确定
  7. Refresh 查看所有规则的更新状态。
注意
pkiconsole 已被弃用。

7.3.4. 将 CA 设置为使用不同的证书来签名 CRL

有关如何通过编辑 CS.cfg 文件配置此功能的说明,请参阅 Red Hat Certificate System 规划、安装和部署指南中的设置 CA 来使用不同的证书签名 CRL 部分。

7.3.5. 从缓存生成 CRL

默认情况下,CRL 从 CA 的内部数据库生成。但是,可以收集撤销信息,因为证书被撤销并保留在内存中。然后,可以使用此撤销信息从内存中更新 CRL。绕过从内部数据库生成 CRL 所需的数据库搜索可显著提高性能。
注意
由于性能增强从缓存生成 CRL,请在大多数环境中启用 enableCRLCache 参数。但是,在生产环境中 不应 启用 Enable CRL cache 测试 参数。

7.3.5.1. 在控制台中从缓存配置 CRL 生成

注意
pkiconsole 已被弃用。
  1. 打开控制台。
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡中,展开 Certificate Manager 文件夹和 CRL 颁发点 子文件夹。
  3. 选择 MasterCRL 节点。
  4. 选择 Enable CRL cache
  5. 保存更改。

7.3.5.2. 在 CS.cfg 中配置来自 Cache 的 CRL 生成

有关如何通过编辑 CS.cfg 文件配置此功能的说明,请参阅 Red Hat Certificate System 规划、安装和部署指南中的 从 CS.cfg 中的配置 CRL 生成 部分。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.