9.8. 设置可恢复的 CRL 下载
证书系统提供中断 CRL 下载的选项,以便平稳恢复。这可以通过通过 HTTP 将 CRL 作为纯文本发布。此下载 CRL 的方法在检索 CRL 时具有灵活性,并降低整个网络拥塞。
9.8.1. 使用 wget 检索 CRL
由于 CRL 可以通过 HTTP 作为文本文件发布,所以可使用 wget 等工具手动从 CA 检索它们。wget 命令可用于检索任何公布的 CRL。例如,要检索比之前完整 CRL 更新的完整 CRL:
[root@server ~]# wget --no-check-certificate -d https://server.example.com:8443/ca/ee/ca/crl/MasterCRL.bin
表 9.4 “用于检索 CRL 的 wget 选项” 中总结了 wget 的相关参数。
| 参数 | 描述 |
|---|---|
| 无参数 | 检索完整的 CRL。 |
| -N | 检索比本地副本更新的 CRL (delta CRL)。 |
| -c | 检索部分下载的文件。 |
| --no-check-certificate | 跳过连接的 SSL,因此不需要在主机和客户端之间配置 SSL。 |
| -d | 打印调试信息。 |
