B.4. CRL 扩展

B.4.1. 关于 CRL 扩展
复制链接

自初始发布以来，对 CRL 格式的 X.509 标准已被修改，以在 CRL 中包含其他信息。此信息通过 CRL 扩展添加。

ANSI X9 和 ISO/IEC/ITU 为 X.509 CRLs [X.509] [X9.55] 定义的扩展允许额外的属性与 CRL 关联。Internet X.509 公钥基础架构证书和 CRL 配置文件位于 RFC 5280 中，建议在 CRL 中使用一组扩展。这些扩展称为 标准 CRL 扩展。

标准还允许创建自定义扩展，并包含在 CRL 中。这些扩展称为私有、专有 或自定义 CRL 扩展，并将信息提供给组织或业务。应用程序可能无法验证包含私有关键扩展的 CRL，因此不建议在一般上下文中使用自定义扩展。

注意

抽象语法 Notation One (ASN.1)和 Distinguished Encoding Rules (DER)标准在 CCITT Recommendations X.208 和 X.209 中指定。有关 ASN.1 和 DER 的快速摘要，请参阅 Layman 的指南为 ASN.1、BER 和 DER，该指南位于 RSA 实验室器的网站 http://www.rsa.com。

B.4.1.1. CRL 扩展的结构
复制链接

CRL 扩展由以下部分组成：

扩展的对象标识符(OID)。此标识符唯一标识扩展。它还决定 value 字段中值的 ASN.1 类型以及如何解释值。当扩展出现在 CRL 中时，OID 显示为扩展 ID 字段(extnID)，对应的 ASN.1 编码结构显示为 octet 字符串(extnValue)的值；示例显示在例 B.4 “用户打印证书扩展示例” 中。
名为 critical 的标记或布尔值字段。
分配给此字段的 true 或 false 值指示扩展是否为 CRL 的关键或非关键值。
- 如果扩展至关重要，并且将 CRL 发送到不根据扩展 ID 了解扩展的应用程序，应用程序必须拒绝 CRL。
- 如果扩展不是关键的，并且 CRL 发送到根据扩展 ID 不理解扩展的应用程序，则应用程序可以忽略扩展并接受 CRL。
包含扩展名值的 DER 编码的 octet 字符串。

接收 CRL 的应用会检查扩展 ID，以确定它是否可以识别 ID。如果它可以，它可以使用扩展 ID 来决定所使用的值类型。

B.4.1.2. CRL 和 CRL 条目扩展示例
复制链接

以下是 X.509 CRL 版本 2 扩展的示例。证书系统可以以可读的用户打印格式显示 CRL，如下所示。如示例所示，CRL 扩展按顺序出现，每个 CRL 只能有一个特定扩展的实例。例如，CRL 只能包含一个授权密钥标识符扩展。但是，CRL-entry 扩展会出现在 CRL 中的相应条目中。

Certificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=Example Domain
        This Update: Wednesday, July 29, 2009 8:59:48 AM GMT-08:00
        Next Update: Friday, July 31, 2009 8:59:48 AM GMT-08:00
        Revoked Certificates: 1-3 of 3
            Serial Number: 0x11
            Revocation Date: Thursday, July 23, 2009 10:07:15 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Privilege_Withdrawn
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 8:50:11 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Sun Jul 26 23:00:00 GMT-08:00 2009
            Serial Number: 0x19
            Revocation Date: Wednesday, July 29, 2009 8:50:49 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Key_Compromise
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Fri Jul 24 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://example.com:9180/ca/ocsp
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: example.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: Freshest CRL - 2.5.29.46
            Critical: no
            Number of Points: 1
            Point 0
                Distribution Point: [URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getDeltaCRL&crlIssuingPoint=MasterCRL]
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 39
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://example.com:9180/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            47:D2:CD:C9:E5:F5:9D:56:0A:97:31:F5:D5:F2:51:EB:
            1F:CF:FA:9E:63:D4:80:13:85:E5:D8:27:F0:69:67:B5:
            89:4F:59:5E:69:E4:39:93:61:F2:E3:83:51:0B:68:26:
            CD:99:C4:A2:6C:2B:06:43:35:36:38:07:34:E4:93:80:
            99:2F:79:FB:76:E8:3D:4C:15:5A:79:4E:E5:3F:7E:FC:
            D8:78:0D:1D:59:A0:4C:14:42:B7:22:92:89:38:3A:4C:
            4A:3A:06:DE:13:74:0E:E9:63:74:D0:2F:46:A1:03:37:
            92:F0:93:D9:AA:F8:13:C5:06:25:02:B0:FD:3B:41:E7:
            62:6F:67:A3:9F:F5:FA:03:41:DA:8D:FD:EA:2F:E3:2B:
            3E:F8:E9:CC:3B:9F:E4:ED:73:F2:9E:B9:54:14:C1:34:
            68:A7:33:8F:AF:38:85:82:40:A2:06:97:3C:B4:88:43:
            7B:AF:5D:87:C4:47:63:4A:11:65:E3:75:55:4D:98:97:
            C2:2E:62:08:A4:04:35:5A:FE:0A:5A:6E:F1:DE:8E:15:
            27:1E:0F:87:33:14:16:2E:57:F7:DC:77:BE:D2:75:AB:
            A9:7C:42:1F:84:6D:40:EC:E7:ED:84:F8:14:16:28:33:
            FD:11:CD:C5:FC:49:B7:7B:39:57:B3:E6:36:E5:CD:B6

Certificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=Example Domain
        This Update: Wednesday, July 29, 2009 8:59:48 AM GMT-08:00
        Next Update: Friday, July 31, 2009 8:59:48 AM GMT-08:00
        Revoked Certificates: 1-3 of 3
            Serial Number: 0x11
            Revocation Date: Thursday, July 23, 2009 10:07:15 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Privilege_Withdrawn
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 8:50:11 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Sun Jul 26 23:00:00 GMT-08:00 2009
            Serial Number: 0x19
            Revocation Date: Wednesday, July 29, 2009 8:50:49 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Key_Compromise
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Fri Jul 24 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://example.com:9180/ca/ocsp
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: example.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: Freshest CRL - 2.5.29.46
            Critical: no
            Number of Points: 1
            Point 0
                Distribution Point: [URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getDeltaCRL&crlIssuingPoint=MasterCRL]
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 39
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://example.com:9180/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            47:D2:CD:C9:E5:F5:9D:56:0A:97:31:F5:D5:F2:51:EB:
            1F:CF:FA:9E:63:D4:80:13:85:E5:D8:27:F0:69:67:B5:
            89:4F:59:5E:69:E4:39:93:61:F2:E3:83:51:0B:68:26:
            CD:99:C4:A2:6C:2B:06:43:35:36:38:07:34:E4:93:80:
            99:2F:79:FB:76:E8:3D:4C:15:5A:79:4E:E5:3F:7E:FC:
            D8:78:0D:1D:59:A0:4C:14:42:B7:22:92:89:38:3A:4C:
            4A:3A:06:DE:13:74:0E:E9:63:74:D0:2F:46:A1:03:37:
            92:F0:93:D9:AA:F8:13:C5:06:25:02:B0:FD:3B:41:E7:
            62:6F:67:A3:9F:F5:FA:03:41:DA:8D:FD:EA:2F:E3:2B:
            3E:F8:E9:CC:3B:9F:E4:ED:73:F2:9E:B9:54:14:C1:34:
            68:A7:33:8F:AF:38:85:82:40:A2:06:97:3C:B4:88:43:
            7B:AF:5D:87:C4:47:63:4A:11:65:E3:75:55:4D:98:97:
            C2:2E:62:08:A4:04:35:5A:FE:0A:5A:6E:F1:DE:8E:15:
            27:1E:0F:87:33:14:16:2E:57:F7:DC:77:BE:D2:75:AB:
            A9:7C:42:1F:84:6D:40:EC:E7:ED:84:F8:14:16:28:33:
            FD:11:CD:C5:FC:49:B7:7B:39:57:B3:E6:36:E5:CD:B6

Copy to Clipboard

Toggle word wrap

delta CRL 是 CRL 的子集，仅包含自上次 CRL 发布以来的更改。任何包含 delta CRL 指示符扩展的 CRL 都是一个 delta CRL。

ertificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=SjcRedhat Domain
        This Update: Wednesday, July 29, 2009 9:02:28 AM GMT-08:00
        Next Update: Thursday, July 30, 2009 9:02:28 AM GMT-08:00
        Revoked Certificates:
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 9:00:48 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Remove_from_CRL
            Serial Number: 0x17
            Revocation Date: Wednesday, July 29, 2009 9:02:16 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Mon Jul 27 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://server.example.com:8443/ca/ocsp
        Identifier: Delta CRL Indicator - 2.5.29.27
            Critical: yes
            Base CRL Number: 39
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: a-f8.sjc.redhat.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 41
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            68:28:DA:90:D5:39:CB:6D:BE:42:04:77:C9:E4:09:60:
            C1:97:A6:99:AB:A0:5B:A2:F3:8B:5E:4E:D6:05:70:B0:
            87:1F:D7:0E:4B:C6:B2:DE:8B:92:D8:7C:3B:36:1C:79:
            96:2A:64:E6:7A:25:1D:E7:40:62:48:7A:24:C9:9D:11:
            A6:7F:BB:6B:03:A0:9C:1D:BC:1C:EE:9A:4B:A6:48:2C:
            3B:5E:2B:B1:70:3C:C3:42:96:28:26:AB:82:18:F2:E9:
            F2:55:48:A8:7E:7F:FE:D4:3D:0B:EA:A2:2F:4E:E6:C3:
            C3:C1:6A:E5:C6:85:5B:42:B1:70:2A:C6:E1:D9:0C:AF:
            DA:01:22:FF:80:6E:2E:A7:E5:34:DC:AF:E6:C2:B5:B3:
            1B:FC:28:36:8A:91:4A:22:E7:03:A5:ED:4E:62:0C:D9:
            7F:81:BB:80:99:B8:61:2A:02:C6:9C:41:2E:01:82:21:
            80:82:69:52:BD:B2:AA:DB:0F:80:0A:7E:2A:F3:15:32:
            69:D2:40:0D:39:59:93:75:A2:ED:24:70:FB:EE:19:C0:
            BE:A2:14:36:D0:AC:E8:E2:EE:23:83:DD:BC:DF:38:1A:
            9E:37:AF:E3:50:D9:47:9D:22:7C:36:35:BF:13:2C:16:
            A2:79:CF:05:41:88:8E:B6:A2:4E:B3:48:6D:69:C6:38

ertificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=SjcRedhat Domain
        This Update: Wednesday, July 29, 2009 9:02:28 AM GMT-08:00
        Next Update: Thursday, July 30, 2009 9:02:28 AM GMT-08:00
        Revoked Certificates:
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 9:00:48 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Remove_from_CRL
            Serial Number: 0x17
            Revocation Date: Wednesday, July 29, 2009 9:02:16 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Mon Jul 27 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://server.example.com:8443/ca/ocsp
        Identifier: Delta CRL Indicator - 2.5.29.27
            Critical: yes
            Base CRL Number: 39
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: a-f8.sjc.redhat.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 41
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            68:28:DA:90:D5:39:CB:6D:BE:42:04:77:C9:E4:09:60:
            C1:97:A6:99:AB:A0:5B:A2:F3:8B:5E:4E:D6:05:70:B0:
            87:1F:D7:0E:4B:C6:B2:DE:8B:92:D8:7C:3B:36:1C:79:
            96:2A:64:E6:7A:25:1D:E7:40:62:48:7A:24:C9:9D:11:
            A6:7F:BB:6B:03:A0:9C:1D:BC:1C:EE:9A:4B:A6:48:2C:
            3B:5E:2B:B1:70:3C:C3:42:96:28:26:AB:82:18:F2:E9:
            F2:55:48:A8:7E:7F:FE:D4:3D:0B:EA:A2:2F:4E:E6:C3:
            C3:C1:6A:E5:C6:85:5B:42:B1:70:2A:C6:E1:D9:0C:AF:
            DA:01:22:FF:80:6E:2E:A7:E5:34:DC:AF:E6:C2:B5:B3:
            1B:FC:28:36:8A:91:4A:22:E7:03:A5:ED:4E:62:0C:D9:
            7F:81:BB:80:99:B8:61:2A:02:C6:9C:41:2E:01:82:21:
            80:82:69:52:BD:B2:AA:DB:0F:80:0A:7E:2A:F3:15:32:
            69:D2:40:0D:39:59:93:75:A2:ED:24:70:FB:EE:19:C0:
            BE:A2:14:36:D0:AC:E8:E2:EE:23:83:DD:BC:DF:38:1A:
            9E:37:AF:E3:50:D9:47:9D:22:7C:36:35:BF:13:2C:16:
            A2:79:CF:05:41:88:8E:B6:A2:4E:B3:48:6D:69:C6:38

Copy to Clipboard

Toggle word wrap

B.4.2. 标准 X.509 v3 CRL 扩展参考
复制链接

除了证书扩展外，X.509 建议的标准还定义了 CRL 的扩展，它提供了将额外属性与互联网 CRL 关联的方法。以下是两种类型之一：对 CRL 本身的扩展，并扩展到 CRL 中的单个证书条目。

B.4.2.1. CRL 的扩展
复制链接

以下 CRL 描述定义为互联网 X.509 v3 公钥基础架构建议的标准的一部分。

B.4.2.1.1. authorityInfoAccess
复制链接

授权信息访问扩展标识如何获取 delta CRL 信息。newestCRL 扩展放在完整的 CRL 中，以指示在哪里查找最新的 delta CRL。

OID

1.3.6.1.5.5.7.1.1

严重性

PKIX 要求此扩展不能至关重要。

Expand

表 B.39. 授权信息访问配置参数
参数	描述
enable	指定规则是否启用或禁用。默认值为禁用此扩展。
critical	设置扩展是否标记为关键；默认值为非关键。
numberOfAccessDescriptions	表示访问描述的数量，从 0 到任意正整数；默认值为 0。当将此参数设置为 0 以外的整数时，设置数字，然后单击 OK 以关闭窗口。重新打开规则的编辑窗口，以及设置点的字段将存在。
accessMethodn	此参数唯一接受的值是 caIssuers。当可用信息列表可用于验证 CRL 上的签名的证书时，会使用 caIssuers 方法。当 CRL 中包含 AIA 扩展时，不应使用其他方法。
accessLocationTypen	指定 n 访问描述的访问位置类型。选项是 `DirectoryName` 或 `URI`。
accessLocationn	如果将 `accessLocationType` 设置为 `DirectoryName`，则该值必须是 X.500 名称形式的字符串，类似于证书中的主题名称。例如：CN=CACentral,OU=Research Dept,O=Example Corporation,C=US。如果将 `accessLocationType` 设置为 `URI`，则名称必须是 URI；URI 必须是绝对路径名，必须指定主机。例如： http://testCA.example.com/get/crls/here/。

B.4.2.1.2. authorityKeyIdentifier
复制链接

CRL 的授权密钥标识符扩展标识与用于为 CRL 签名的私钥对应的公钥。详情请查看证书扩展中的讨论第 B.3.2 节 “authorityKeyIdentifier”。

PKIX 标准建议 CA 必须在所有 CRL 中包括此扩展，因为 CA 的公钥可以改变，例如当密钥被更新时，或者 CA 可能会有多个签名密钥，因为多个并发密钥对或密钥改变。在这些情况下，CA 以多个密钥对结束。在证书上验证签名时，其他应用程序需要知道在签名中使用哪个密钥。

OID

2.5.29.35

Expand

表 B.40. AuthorityKeyIdentifierExt 配置参数
参数	描述
enable	指定规则是否启用或禁用。默认值为禁用此扩展。
critical	设置扩展是否标记为关键；默认值为非关键。

B.4.2.1.3. CRLNumber
复制链接

CRLNumber 扩展指定 CA 发布的每个 CRL 的连续数字。它允许用户轻松确定何时将特定的 CRL 取代另一个 CRL。PKIX 要求所有 CRL 都具有此扩展。

OID

2.5.29.20

严重性

这个扩展不能至关重要。

Expand

表 B.41. CRLNumber 配置参数
参数	描述
enable	指定是否启用了规则，这是默认设置。
critical	设置扩展是否标记为关键；默认值为非关键。

B.4.2.1.4. deltaCRLIndicator
复制链接

deltaCRLIndicator 扩展生成 delta CRL，仅包含从最后一个 CRL 吊销的证书列表，还包括对基础 CRL 的引用。这会更新本地数据库，同时忽略已存在于本地数据库中的未更改的信息。这可以显著提高以 CRL 结构以外的格式存储撤销信息的应用程序处理时间。

OID

2.5.29.27

严重性

PKIX 要求如果扩展存在，则此扩展至关重要。

Expand

表 B.42. DeltaCRL 配置参数
参数	描述
enable	设置是否启用了规则。默认情况下，它被禁用。
critical	设置扩展是否为关键还是非关键。默认情况下，这很重要。

B.4.2.1.5. FreshestCRL
复制链接

newestCRL 扩展标识如何获取 delta CRL 信息。newestCRL 扩展放在完整的 CRL 中，以指示在哪里查找最新的 delta CRL。

OID

2.5.29.46

严重性

PKIX 要求此扩展必须为非关键。

Expand

表 B.43. FreshestCRL 配置参数
参数	描述
enable	设置是否启用了扩展规则。默认情况下禁用此设置。
critical	将扩展标记为 critical 或 noncritical。默认值为 noncritical。
numPoints	表示 delta CRL 的发布点数，从 `0` 到任何正整数，默认值为 0。当将其设置为 0 以外的整数时，设置数字，然后点 OK 关闭窗口。重新打开规则的编辑窗口，以及设置这些点的字段将存在。
pointTypen	指定 n emit 点的发布点的类型。对于 `numPoints` 中指定的每个数字，其 `点数` 相同。选项是 `DirectoryName` 或 `URIName`。
pointNamen	如果将 `pointType` 设置为 `directoryName`，则该值必须是 X.500 名称形式的字符串，类似于证书中的主题名称。例如： CN=CACentral,OU=Research Dept,O=Example company,C=US。如果 `pointType` 设置为 `URIName`，该名称必须是 URI；URI 必须是绝对路径名，必须指定主机。例如： http://testCA.example.com/get/crls/here/。

B.4.2.1.6. issuerAltName
复制链接

Issuer Alternative Name 扩展允许额外的身份与 CRL 的签发者关联，如绑定属性，如电子邮件地址、DNS 名称、IP 地址(IPv4 和 IPv6)，以及一个统一的资源指示器(URI)，以及 CRL 签发者。详情请查看证书扩展中的讨论第 B.3.7 节 “issuerAltName extension”。

OID

2.5.29.18

Expand

表 B.44. IssuerAlternativeName 配置参数
参数	描述
enable	设置是否启用了扩展规则；默认情况下，这是禁用的。
critical	设置扩展是否至关重要；默认情况下，这并不重要。
numNames	设置扩展中允许的备用名称或身份总数。每个名称都有一组配置参数 `nameType` 和 `name`，它必须具有适当的值，或者规则返回错误。通过更改此字段中指定的值来更改身份总数 ; 扩展中包含的身份总数没有限制。每个配置参数集合都通过从此字段值派生的整数来区分。例如，如果 `numNames` 参数设置为 `2`，则派生的整数为 `0` 和 `1`。
nameTypen	指定常规名称类型 ; 可以是以下任意一种： `rfc822Name` 如果名称是互联网电子邮件地址。 `如果` 名称是 X.500 目录名称，则目录名。 `如果名称是` DNS 名称，则 dnsName。如果名称是 EDI 方名称，则 `ediPartyName`。 `如果` 名称是 URI （默认） `ipaddress (` 如果名称是 IP 地址)。IPv4 地址的格式必须是 n. n.n.n 或 n .n.n.n,m.m.m。例如：128 .21.39.40 或 128.21.39.40,255.255.255.00。IPv6 地址使用 128 位命名空间，其 IPv6 地址用冒号和以句点分开的子网掩码分开。例如，0:0:0:0:0:0:13.1.68.3,FF01::43,0:0:0:0:0:0:13.1.68.3,FF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:255.255.255.0 , 和 FF01::43,FFFF:FFFF:FF:FF:FF:FF:FF:FFFF0000。如果名称是对象标识符，则 `OID`。 `otherName` 如果名称采用任何其他名称形式；这支持 `PrintableString`,`IA5String`,`UTF8String`,`BMPString`,`Any`, 和 `KerberosName`。
Namen	指定 general-name 值；允许的值取决于 `nameType` 字段中指定的名称类型。对于 `rfc822Name`，该值必须是有效的 Internet 电子邮件地址，格式为 local-part@domain 格式。对于 `directoryName`，该值必须是字符串 X.500 名称，类似于证书中的主题名称。例如： CN=CACentral,OU=Research Dept,O=Example company,C=US。对于 `dNSName`，该值必须是 DNS 格式的有效域名。例如，testCA.example.com。对于 `ediPartyName`，该名称必须是 IA5String。例如，公司示例。对于 `URL`，该值必须是非相对 URI。例如： http://testCA.example.com。对于 `iPAddress`，该值必须是以点分开的数字组件表示法指定的有效 IP 地址。它可以是 IP 地址或 IP 地址，包括子网掩码。IPv4 地址的格式必须是 n. n.n.n 或 n .n.n.n,m.m.m。例如：128 .21.39.40 或 128.21.39.40,255.255.255.00。IPv6 地址使用 128 位命名空间，其 IPv6 地址用冒号和以句点分开的子网掩码分开。例如，0:0:0:0:0:0:13.1.68.3,FF01::43,0:0:0:0:0:0:13.1.68.3,FF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:255.255.255.0 , 和 FF01::43,FFFF:FFFF:FF:FF:FF:FF:FF:FFFF0000。对于 `OID`，值必须是唯一的、在点分隔的数字组件表示法中指定的有效 OID。例如，1.2 .3.4.55.6.5.99。虽然自定义 OID 可用于评估和测试服务器，在生产环境中，遵守 ISO 规则来定义 OID 和 ID 的注册子树。对于 `otherName`，名称可以是任何其他格式；这支持 `PrintableString`,`IA5String`,`UTF8String`,`BMPString`,`Any`, 和 `KerberosName`。`PrintableString`,`IA5String`,`UTF8String`,`BMPString`, 以及将字符串设置为指定子树的 base-64 编码文件，如 /var/lib/pki/pki-tomcat/ca/othername.txt。`KerberosName` 具有 Realm\|NameType\|NameStrings，如 realm1\|0\|userID1,userID2。名称必须是文件的绝对路径，该文件包含其 base-64 编码格式的通用名称。例如： /var/lib/pki/pki-tomcat/ca/extn/ian/othername.txt。

B.4.2.1.7. issuingDistributionPoint
复制链接

颁发发布点 CRL 扩展标识特定 CRL 的 CRL 发布点，并指示它涵盖的撤销类型，如只撤销最终证书、仅 CA 证书或撤销具有有限原因代码的证书。

PKIX Part 我不需要此扩展。

OID

2.5.29.28

严重性

PKIX 要求如果扩展存在，则此扩展至关重要。

Expand

表 B.45. IssuingDistributionPoint 配置参数
参数	描述
enable	设置是否启用了扩展；默认禁用。
critical	将扩展标记为 critical、default 或 noncritical。
pointType	指定来自以下内容的发布发布点的类型： `directoryName` 指定类型是一个 X.500 目录名称。 `URI` 指定类型是统一的资源指示符。 `RelativeToIssuer` 指定类型是一个相对可分辨名称(RDN)，它代表 DN 的单个节点，如 `ou=Engineering`。
pointName	提供发布发布点的名称。发行版点的名称取决于为 `pointType` 参数指定的值。对于 `directoryName`，名称必须是 X.500 名称。例如： cn=CRLCentral,ou=Research Dept,o=Example company,c=US。对于 `URIName`，该名称必须是绝对路径名的 URI，并指定主机。例如： http://testCA.example.com/get/crls/here/。注意 CRL 可以存储在与 CRL 发布点对应的目录中，该条目可能与 CA 的目录条目不同。
onlySomeReasons	指定与发布点关联的原因代码。 permissible 值是原因代码(`未指定`、`键完成、cACompromise` ,`affiliationChanged`, 被取代的`,` `cessationOfOperation`,`certificateHold`, 和 `removeFromCRL`)的组合。如果发行版点包含带有所有原因代码（默认）吊销的证书，请将该字段留空。
onlyContainsCACerts	指定仅在设置时包含用户证书。默认情况下不设置，这意味着发行版点包含所有类型的证书。
indirectCRL	指定发行版点包含间接 CRL；默认情况下，不会选择。

B.4.2.2. CRL 条目扩展
复制链接

以下章节列出了定义为互联网 X.509 v3 公钥基础架构建议标准一部分的 CRL 条目扩展类型。所有这些扩展都不是关键的。

B.4.2.2.1. certificateIssuer
复制链接

证书签发者扩展标识与间接 CRL 中条目关联的证书签发者。

此扩展仅用于间接 CRL，不受证书系统支持。

OID

2.5.29.29

B.4.2.2.2. invalidityDate
复制链接

Invalidity Date 扩展提供了私钥被泄露或证书无效的日期。

OID

2.5.29.24

Expand

表 B.46. invalidityDate configuration parameters
参数	描述
enable	设置扩展规则是否启用或禁用。默认情况下启用此设置。
critical	将扩展标记为 critical 或 noncritical；默认情况下，这并不重要。

B.4.2.2.3. CRLReason
复制链接

Reason Code 扩展标识证书撤销的原因。

OID

2.5.29.21

Expand

表 B.47. CRLReason 配置参数
参数	描述
enable	设置扩展规则是否启用或禁用。默认情况下启用此设置。
critical	将扩展标记为 critical 或 noncritical。默认情况下，这不是不关键的。

B.4.3. Netscape 定义的证书扩展参考
复制链接

Netscape 为其产品定义了某些证书扩展。有些扩展现已过时，其他扩展已被 X.509 建议的标准中定义的扩展替代。所有 Netscape 扩展都应标记为非关键扩展，因此其证书中存在不会使证书与其他客户端不兼容。

B.4.3.1. netscape-cert-type
复制链接

Netscape 证书类型扩展可用于限制可以使用证书的目的。它已被 X.509 v3 扩展第 B.3.6 节 “extKeyUsage” 和第 B.3.3 节 “basicConstraints” 替代。

如果证书中存在扩展，它会将证书限制为其中指定的使用。如果没有扩展名，则证书可用于所有应用程序，但对象签名除外。

该值是一个位字符串，其中单独的位位置（在设置时）认证特定使用的证书，如下所示：

位 0：SSL 客户端证书
位 1：SSL 服务器证书
第 2 位：S/MIME 证书
第 3 位：对象签名证书
第 4 位： reserved
第 5 位：SSL CA 证书
位 6：S/MIME CA 证书
位 7：对象签名 CA 证书

OID

2.16.840.1.113730.1.1

B.4.3.1.1. Netscape-comment
复制链接

此扩展名的值是 IA5String。这是一个注释，可在查看证书时向用户显示。

OID

2.16.840.1.113730.13

返回顶部

B.4. CRL 扩展

B.4.1. 关于 CRL 扩展
复制链接

B.4.1.1. CRL 扩展的结构
复制链接

B.4.1.2. CRL 和 CRL 条目扩展示例
复制链接

B.4.2. 标准 X.509 v3 CRL 扩展参考
复制链接

B.4.2.1. CRL 的扩展
复制链接

B.4.2.1.1. authorityInfoAccess
复制链接

B.4.2.1.2. authorityKeyIdentifier
复制链接

B.4.2.1.3. CRLNumber
复制链接

B.4.2.1.4. deltaCRLIndicator
复制链接

B.4.2.1.5. FreshestCRL
复制链接

B.4.2.1.6. issuerAltName
复制链接

B.4.2.1.7. issuingDistributionPoint
复制链接

B.4.2.2. CRL 条目扩展
复制链接

B.4.2.2.1. certificateIssuer
复制链接

B.4.2.2.2. invalidityDate
复制链接

B.4.2.2.3. CRLReason
复制链接

B.4.3. Netscape 定义的证书扩展参考
复制链接

B.4.3.1. netscape-cert-type
复制链接

B.4.3.1.1. Netscape-comment
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

B.4. CRL 扩展

B.4.1. 关于 CRL 扩展复制链接链接已复制到粘贴板!

B.4.1.1. CRL 扩展的结构复制链接链接已复制到粘贴板!

B.4.1.2. CRL 和 CRL 条目扩展示例复制链接链接已复制到粘贴板!

B.4.2. 标准 X.509 v3 CRL 扩展参考复制链接链接已复制到粘贴板!

B.4.2.1. CRL 的扩展复制链接链接已复制到粘贴板!

B.4.2.1.1. authorityInfoAccess复制链接链接已复制到粘贴板!

B.4.2.1.2. authorityKeyIdentifier复制链接链接已复制到粘贴板!

B.4.2.1.3. CRLNumber复制链接链接已复制到粘贴板!

B.4.2.1.4. deltaCRLIndicator复制链接链接已复制到粘贴板!

B.4.2.1.5. FreshestCRL复制链接链接已复制到粘贴板!

B.4.2.1.6. issuerAltName复制链接链接已复制到粘贴板!

B.4.2.1.7. issuingDistributionPoint复制链接链接已复制到粘贴板!

B.4.2.2. CRL 条目扩展复制链接链接已复制到粘贴板!

B.4.2.2.1. certificateIssuer复制链接链接已复制到粘贴板!

B.4.2.2.2. invalidityDate复制链接链接已复制到粘贴板!

B.4.2.2.3. CRLReason复制链接链接已复制到粘贴板!

B.4.3. Netscape 定义的证书扩展参考复制链接链接已复制到粘贴板!

B.4.3.1. netscape-cert-type复制链接链接已复制到粘贴板!

B.4.3.1.1. Netscape-comment复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

B.4.1. 关于 CRL 扩展
复制链接

B.4.1.1. CRL 扩展的结构
复制链接

B.4.1.2. CRL 和 CRL 条目扩展示例
复制链接

B.4.2. 标准 X.509 v3 CRL 扩展参考
复制链接

B.4.2.1. CRL 的扩展
复制链接

B.4.2.1.1. authorityInfoAccess
复制链接

B.4.2.1.2. authorityKeyIdentifier
复制链接

B.4.2.1.3. CRLNumber
复制链接

B.4.2.1.4. deltaCRLIndicator
复制链接

B.4.2.1.5. FreshestCRL
复制链接

B.4.2.1.6. issuerAltName
复制链接

B.4.2.1.7. issuingDistributionPoint
复制链接

B.4.2.2. CRL 条目扩展
复制链接

B.4.2.2.1. certificateIssuer
复制链接

B.4.2.2.2. invalidityDate
复制链接

B.4.2.2.3. CRLReason
复制链接

B.4.3. Netscape 定义的证书扩展参考
复制链接

B.4.3.1. netscape-cert-type
复制链接

B.4.3.1.1. Netscape-comment
复制链接