B.4. CRL 扩展

B.4.1. 关于 CRL 扩展
复制链接

自初始发布以来，已修改 CRL 格式的 X.509 标准，以在 CRL 中包含其他信息。此信息通过 CRL 扩展添加。

由 ANSI X9 和 ISO/IEC/ITU 为 X.509 CRL [X.509] [X9.55] 定义的扩展允许额外的属性与 CRL 关联。Internet X.509 公钥基础架构证书和 CRL 配置文件位于 RFC 5280 中，建议在 CRL 中使用一组扩展。这些扩展称为 标准 CRL 扩展。

该标准还允许在 CRL 中创建并包含自定义扩展。这些扩展称为私有、专有 或自定义 CRL 扩展，并将信息提供给组织或业务。应用程序可能无法验证包含私有关键扩展的 CRL，因此不建议在一般上下文中使用自定义扩展。

注意

抽象语法符号 1 (ASN.1)和可辨识的编码规则(DER)标准在 CCITT Recommendations X.208 和 X.209 中指定。有关 ASN.1 和 DER 的快速摘要，请参阅 Layman 的指南为 ASN.1、BER 和 DER，该指南位于 RSA 实验室器的网站 http://www.rsa.com。

B.4.1.1. CRL 扩展的结构
复制链接

CRL 扩展由以下部分组成：

扩展的对象标识符(OID)。此标识符唯一标识扩展。它还决定了 value 字段中的 ASN.1 类型的值以及如何解释值。当扩展出现在 CRL 中时，OID 显示为扩展 ID 字段(extnID)，对应的 ASN.1 编码结构显示为 octet 字符串(extnValue)的值；示例显示在例 B.4 “用户打印证书扩展示例” 中。
名为 critical 的标记或布尔值字段。
分配给此字段的 true 或 false 值指示扩展是否为 CRL 的关键或非关键值。 如果扩展至关重要，并且将 CRL 发送到不根据扩展 ID 了解扩展的应用程序，应用程序必须拒绝 CRL。 如果扩展不是关键的，并且 CRL 发送到根据扩展 ID 不理解扩展的应用程序，则应用程序可以忽略扩展并接受 CRL。
包含扩展值的 DER 编码的 octet 字符串。

接收 CRL 的应用会检查扩展 ID，以确定它是否可以识别 ID。如果可以，它将使用扩展名 ID 来确定所使用的值类型。

B.4.1.2. CRL 和 CRL 条目扩展示例
复制链接

以下是 X.509 CRL 版本 2 扩展的示例。证书系统可以以可读的用户打印格式显示 CRL，如下所示。如示例所示，CRL 扩展按顺序出现，只有特定扩展的一个实例可能会每个 CRL 出现；例如，CRL 可能只包含一个授权密钥标识符扩展。但是，CRL-entry 扩展会出现在 CRL 中的相应条目中。

Certificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=Example Domain
        This Update: Wednesday, July 29, 2009 8:59:48 AM GMT-08:00
        Next Update: Friday, July 31, 2009 8:59:48 AM GMT-08:00
        Revoked Certificates: 1-3 of 3
            Serial Number: 0x11
            Revocation Date: Thursday, July 23, 2009 10:07:15 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Privilege_Withdrawn
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 8:50:11 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Sun Jul 26 23:00:00 GMT-08:00 2009
            Serial Number: 0x19
            Revocation Date: Wednesday, July 29, 2009 8:50:49 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Key_Compromise
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Fri Jul 24 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://example.com:9180/ca/ocsp
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: example.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: Freshest CRL - 2.5.29.46
            Critical: no
            Number of Points: 1
            Point 0
                Distribution Point: [URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getDeltaCRL&crlIssuingPoint=MasterCRL]
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 39
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://example.com:9180/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            47:D2:CD:C9:E5:F5:9D:56:0A:97:31:F5:D5:F2:51:EB:
            1F:CF:FA:9E:63:D4:80:13:85:E5:D8:27:F0:69:67:B5:
            89:4F:59:5E:69:E4:39:93:61:F2:E3:83:51:0B:68:26:
            CD:99:C4:A2:6C:2B:06:43:35:36:38:07:34:E4:93:80:
            99:2F:79:FB:76:E8:3D:4C:15:5A:79:4E:E5:3F:7E:FC:
            D8:78:0D:1D:59:A0:4C:14:42:B7:22:92:89:38:3A:4C:
            4A:3A:06:DE:13:74:0E:E9:63:74:D0:2F:46:A1:03:37:
            92:F0:93:D9:AA:F8:13:C5:06:25:02:B0:FD:3B:41:E7:
            62:6F:67:A3:9F:F5:FA:03:41:DA:8D:FD:EA:2F:E3:2B:
            3E:F8:E9:CC:3B:9F:E4:ED:73:F2:9E:B9:54:14:C1:34:
            68:A7:33:8F:AF:38:85:82:40:A2:06:97:3C:B4:88:43:
            7B:AF:5D:87:C4:47:63:4A:11:65:E3:75:55:4D:98:97:
            C2:2E:62:08:A4:04:35:5A:FE:0A:5A:6E:F1:DE:8E:15:
            27:1E:0F:87:33:14:16:2E:57:F7:DC:77:BE:D2:75:AB:
            A9:7C:42:1F:84:6D:40:EC:E7:ED:84:F8:14:16:28:33:
            FD:11:CD:C5:FC:49:B7:7B:39:57:B3:E6:36:E5:CD:B6

Certificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=Example Domain
        This Update: Wednesday, July 29, 2009 8:59:48 AM GMT-08:00
        Next Update: Friday, July 31, 2009 8:59:48 AM GMT-08:00
        Revoked Certificates: 1-3 of 3
            Serial Number: 0x11
            Revocation Date: Thursday, July 23, 2009 10:07:15 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Privilege_Withdrawn
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 8:50:11 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Sun Jul 26 23:00:00 GMT-08:00 2009
            Serial Number: 0x19
            Revocation Date: Wednesday, July 29, 2009 8:50:49 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Key_Compromise
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Fri Jul 24 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://example.com:9180/ca/ocsp
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: example.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: Freshest CRL - 2.5.29.46
            Critical: no
            Number of Points: 1
            Point 0
                Distribution Point: [URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getDeltaCRL&crlIssuingPoint=MasterCRL]
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 39
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://example.com:9180/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            47:D2:CD:C9:E5:F5:9D:56:0A:97:31:F5:D5:F2:51:EB:
            1F:CF:FA:9E:63:D4:80:13:85:E5:D8:27:F0:69:67:B5:
            89:4F:59:5E:69:E4:39:93:61:F2:E3:83:51:0B:68:26:
            CD:99:C4:A2:6C:2B:06:43:35:36:38:07:34:E4:93:80:
            99:2F:79:FB:76:E8:3D:4C:15:5A:79:4E:E5:3F:7E:FC:
            D8:78:0D:1D:59:A0:4C:14:42:B7:22:92:89:38:3A:4C:
            4A:3A:06:DE:13:74:0E:E9:63:74:D0:2F:46:A1:03:37:
            92:F0:93:D9:AA:F8:13:C5:06:25:02:B0:FD:3B:41:E7:
            62:6F:67:A3:9F:F5:FA:03:41:DA:8D:FD:EA:2F:E3:2B:
            3E:F8:E9:CC:3B:9F:E4:ED:73:F2:9E:B9:54:14:C1:34:
            68:A7:33:8F:AF:38:85:82:40:A2:06:97:3C:B4:88:43:
            7B:AF:5D:87:C4:47:63:4A:11:65:E3:75:55:4D:98:97:
            C2:2E:62:08:A4:04:35:5A:FE:0A:5A:6E:F1:DE:8E:15:
            27:1E:0F:87:33:14:16:2E:57:F7:DC:77:BE:D2:75:AB:
            A9:7C:42:1F:84:6D:40:EC:E7:ED:84:F8:14:16:28:33:
            FD:11:CD:C5:FC:49:B7:7B:39:57:B3:E6:36:E5:CD:B6

Copy to Clipboard

Toggle word wrap

delta CRL 是 CRL 的子集，仅包含发布最后一个 CRL 起的更改。任何包含 delta CRL 指示符扩展的 CRL 是 delta CRL。

Certificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=SjcRedhat Domain
        This Update: Wednesday, July 29, 2009 9:02:28 AM GMT-08:00
        Next Update: Thursday, July 30, 2009 9:02:28 AM GMT-08:00
        Revoked Certificates:
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 9:00:48 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Remove_from_CRL
            Serial Number: 0x17
            Revocation Date: Wednesday, July 29, 2009 9:02:16 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Mon Jul 27 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://server.example.com:8443/ca/ocsp
        Identifier: Delta CRL Indicator - 2.5.29.27
            Critical: yes
            Base CRL Number: 39
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: a-f8.sjc.redhat.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 41
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            68:28:DA:90:D5:39:CB:6D:BE:42:04:77:C9:E4:09:60:
            C1:97:A6:99:AB:A0:5B:A2:F3:8B:5E:4E:D6:05:70:B0:
            87:1F:D7:0E:4B:C6:B2:DE:8B:92:D8:7C:3B:36:1C:79:
            96:2A:64:E6:7A:25:1D:E7:40:62:48:7A:24:C9:9D:11:
            A6:7F:BB:6B:03:A0:9C:1D:BC:1C:EE:9A:4B:A6:48:2C:
            3B:5E:2B:B1:70:3C:C3:42:96:28:26:AB:82:18:F2:E9:
            F2:55:48:A8:7E:7F:FE:D4:3D:0B:EA:A2:2F:4E:E6:C3:
            C3:C1:6A:E5:C6:85:5B:42:B1:70:2A:C6:E1:D9:0C:AF:
            DA:01:22:FF:80:6E:2E:A7:E5:34:DC:AF:E6:C2:B5:B3:
            1B:FC:28:36:8A:91:4A:22:E7:03:A5:ED:4E:62:0C:D9:
            7F:81:BB:80:99:B8:61:2A:02:C6:9C:41:2E:01:82:21:
            80:82:69:52:BD:B2:AA:DB:0F:80:0A:7E:2A:F3:15:32:
            69:D2:40:0D:39:59:93:75:A2:ED:24:70:FB:EE:19:C0:
            BE:A2:14:36:D0:AC:E8:E2:EE:23:83:DD:BC:DF:38:1A:
            9E:37:AF:E3:50:D9:47:9D:22:7C:36:35:BF:13:2C:16:
            A2:79:CF:05:41:88:8E:B6:A2:4E:B3:48:6D:69:C6:38

Certificate Revocation List:
    Data:
        Version:  v2
        Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Issuer: CN=Certificate Authority,O=SjcRedhat Domain
        This Update: Wednesday, July 29, 2009 9:02:28 AM GMT-08:00
        Next Update: Thursday, July 30, 2009 9:02:28 AM GMT-08:00
        Revoked Certificates:
            Serial Number: 0x1A
            Revocation Date: Wednesday, July 29, 2009 9:00:48 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Remove_from_CRL
            Serial Number: 0x17
            Revocation Date: Wednesday, July 29, 2009 9:02:16 AM GMT-08:00
            Extensions:
                Identifier: Revocation Reason - 2.5.29.21
                    Critical: no
                    Reason: Certificate_Hold
                Identifier: Invalidity Date - 2.5.29.24
                    Critical: no
                    Invalidity Date: Mon Jul 27 23:00:00 GMT-08:00 2009
    Extensions:
        Identifier: Authority Info Access: - 1.3.6.1.5.5.7.1.1
            Critical: no
            Access Description:
                Method #0: ocsp
                Location #0: URIName: http://server.example.com:8443/ca/ocsp
        Identifier: Delta CRL Indicator - 2.5.29.27
            Critical: yes
            Base CRL Number: 39
        Identifier: Issuer Alternative Name - 2.5.29.18
            Critical: no
            Issuer Names:
                DNSName: a-f8.sjc.redhat.com
        Identifier: Authority Key Identifier - 2.5.29.35
            Critical: no
            Key Identifier:
                50:52:0C:AA:22:AC:8A:71:E3:91:0C:C5:77:21:46:9C:
                0F:F8:30:60
        Identifier: CRL Number - 2.5.29.20
            Critical: no
            Number: 41
        Identifier: Issuing Distribution Point - 2.5.29.28
            Critical: yes
            Distribution Point:
                Full Name:
                    URIName: http://server.example.com:8443/ca/ee/ca/getCRL?op=getCRL&crlIssuingPoint=MasterCRL
            Only Contains User Certificates: no
            Only Contains CA Certificates: no
            Indirect CRL: no
    Signature:
        Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5
        Signature:
            68:28:DA:90:D5:39:CB:6D:BE:42:04:77:C9:E4:09:60:
            C1:97:A6:99:AB:A0:5B:A2:F3:8B:5E:4E:D6:05:70:B0:
            87:1F:D7:0E:4B:C6:B2:DE:8B:92:D8:7C:3B:36:1C:79:
            96:2A:64:E6:7A:25:1D:E7:40:62:48:7A:24:C9:9D:11:
            A6:7F:BB:6B:03:A0:9C:1D:BC:1C:EE:9A:4B:A6:48:2C:
            3B:5E:2B:B1:70:3C:C3:42:96:28:26:AB:82:18:F2:E9:
            F2:55:48:A8:7E:7F:FE:D4:3D:0B:EA:A2:2F:4E:E6:C3:
            C3:C1:6A:E5:C6:85:5B:42:B1:70:2A:C6:E1:D9:0C:AF:
            DA:01:22:FF:80:6E:2E:A7:E5:34:DC:AF:E6:C2:B5:B3:
            1B:FC:28:36:8A:91:4A:22:E7:03:A5:ED:4E:62:0C:D9:
            7F:81:BB:80:99:B8:61:2A:02:C6:9C:41:2E:01:82:21:
            80:82:69:52:BD:B2:AA:DB:0F:80:0A:7E:2A:F3:15:32:
            69:D2:40:0D:39:59:93:75:A2:ED:24:70:FB:EE:19:C0:
            BE:A2:14:36:D0:AC:E8:E2:EE:23:83:DD:BC:DF:38:1A:
            9E:37:AF:E3:50:D9:47:9D:22:7C:36:35:BF:13:2C:16:
            A2:79:CF:05:41:88:8E:B6:A2:4E:B3:48:6D:69:C6:38

Copy to Clipboard

Toggle word wrap

B.4.2. 标准 X.509 v3 CRL 扩展参考
复制链接

除了证书扩展外，X.509 建议标准定义了对 CRL 的扩展，它提供了将额外属性与互联网 CRL 关联的方法。这些是两种类型之一：对 CRL 本身的扩展，对 CRL 中的单个证书条目的扩展。

B.4.2.1. CRL 的扩展
复制链接

以下 CRL 描述被定义为互联网 X.509 v3 公钥基础架构建议标准的一部分。

B.4.2.1.1. authorityInfoAccess
复制链接

Authority Information Access 扩展标识如何获取 delta CRL 信息。全新estCRL 扩展放在完整的 CRL 中，以指示在哪里查找最新的 delta CRL。

OID

1.3.6.1.5.5.7.1.1

严重性

PKIX 要求此扩展不能至关重要。

Expand

表 B.39. 授权信息访问配置参数
参数	描述
enable	指定是否启用或禁用规则。默认为禁用此扩展。
critical	设置扩展是否标记为 critical；默认值为非关键。
numberOfAccessDescriptions	表示访问描述的数量，从 0 到任何正整数；默认值为 0。当将此参数设置为 0 以外的整数时，请设置数字，然后点 OK 关闭窗口。重新打开规则的编辑窗口，以及设置点的字段将存在。
accessMethodn	此参数的唯一可接受值为 caIssuers。当可用列出可用于验证 CRL 上的签名的证书时，会使用 caIssuers 方法。当 AIA 扩展包含在 CRL 中时，不应使用其他方法。
accessLocationTypen	指定 n 访问描述的访问位置类型。选项是 `DirectoryName` 或 `URI`。
accessLocationn	如果将 `accessLocationType` 设置为 `DirectoryName`，则该值必须是 X.500 名称形式的字符串，类似于证书中的主题名称。例如：CN=CACentral,OU=Research Dept,O=Example Corporation,C=US。如果将 `accessLocationType` 设置为 `URI`，则名称必须是 URI；URI 必须是绝对路径名，必须指定主机。例如： http://testCA.example.com/get/crls/here/。

B.4.2.1.2. authorityKeyIdentifier
复制链接

CRL 的授权密钥标识符扩展标识了与用于为 CRL 签名的私钥对应的公钥。详情请查看证书扩展中的讨论第 B.3.2 节 “authorityKeyIdentifier”。

PKIX 标准建议 CA 必须在所有 CRL 中包括此扩展，因为 CA 的公钥可以改变，例如当密钥被更新时，或者 CA 可能会有多个签名密钥，因为多个并发密钥对或密钥改变。在这些情况下，CA 以多个密钥对结束。在证书上验证签名时，其他应用程序需要知道签名中使用的密钥。

OID

2.5.29.35

Expand

表 B.40. AuthorityKeyIdentifierExt 配置参数
参数	描述
enable	指定是否启用或禁用规则。默认为禁用此扩展。
critical	设置扩展是否标记为 critical；默认值为非关键。

B.4.2.1.3. CRLNumber
复制链接

CRLNumber 扩展指定 CA 发布的每个 CRL 的序列号。它允许用户轻松确定特定的 CRL 何时取代另一个 CRL。PKIX 要求所有 CRL 都有此扩展。

OID

2.5.29.20

严重性

此扩展不能至关重要。

Expand

表 B.41. CRLNumber 配置参数
参数	描述
enable	指定是否启用规则，这是默认设置。
critical	设置扩展是否标记为 critical；默认值为非关键。

B.4.2.1.4. deltaCRLIndicator
复制链接

deltaCRLIndicator 扩展会生成 delta CRL，仅列出自最后一个 CRL 起撤销的证书列表；它还包括对基础 CRL 的引用。这会在本地数据库中更新本地数据库，同时忽略本地数据库中已有的未更改信息。这可显著提高以 CRL 结构以外的格式存储吊销信息的应用程序的处理时间。

OID

2.5.29.27

严重性

PKIX 需要将此扩展名至关重要。

Expand

表 B.42. DeltaCRL 配置参数
参数	描述
enable	设置是否启用了规则。默认情况下，它被禁用。
critical	设置扩展是否为 critical 还是非关键。默认情况下，这至关重要。

B.4.2.1.5. FreshestCRL
复制链接

全新estCRL 扩展标识如何获取 delta CRL 信息。全新estCRL 扩展放在完整的 CRL 中，以指示在哪里查找最新的 delta CRL。

OID

2.5.29.46

严重性

PKIX 要求此扩展必须是非关键的。

Expand

表 B.43. FreshestCRL 配置参数
参数	描述
enable	设置是否启用了扩展规则。默认情况下禁用它。
critical	将扩展标记为 critical 或 noncritical。默认值为非关键。
numPoints	表示 delta CRL 的发布点数，从 `0` 到任何正整数，默认值为 0。当将其设置为 0 以外的整数时，设置数字，然后点 OK 关闭窗口。重新打开规则的编辑窗口，以及要设置这些点的字段将存在。
pointTypen	指定 n 发出点的发布点类型。对于 `numPoints` 中指定的每个数字，其 `点数` 相同。选项是 `DirectoryName` 或 `URIName`。
pointNamen	如果将 `pointType` 设置为 `directoryName`，则该值必须是 X.500 名称形式的字符串，类似于证书中的主题名称。例如： CN=CACentral,OU=Research Dept,O=Example Corporation,C=US。如果 `pointType` 设置为 `URIName`，该名称必须是 URI；URI 必须是绝对路径名，必须指定主机。例如： http://testCA.example.com/get/crls/here/。

B.4.2.1.6. issuerAltName
复制链接

Issuer Alternative Name 扩展允许其他身份与 CRL 的签发者关联，如绑定属性，如电子邮件地址、DNS 名称、IP 地址（包括 IPv4 和 IPv6）以及一个统一的资源指示符(URI)，以及 CRL 的签发者。详情请查看证书扩展中的讨论第 B.3.7 节 “issuerAltName extension”。

OID

2.5.29.18

Expand

表 B.44. IssuerAlternativeName 配置参数
参数	描述
enable	设置是否启用了扩展规则；默认情况下，这被禁用。
critical	设置扩展是否至关重要；默认情况下，这是非关键的。
numNames	设置扩展中允许的备用名称或身份的总数。每个名称都有一组配置参数 `nameType` 和 `name`，它必须具有适当的值，或者规则返回错误。通过更改此字段中指定的值来更改身份总数；扩展中包含的身份总数没有限制。各组配置参数可通过从此字段值派生的整数来区分。例如，如果 `numNames` 参数设置为 `2`，则派生的整数为 `0` 和 `1`。
nameTypen	指定 general-name 类型；这可以是以下任意一种： `rfc822Name` 如果名称是互联网电子邮件地址。 `如果` 名称是 X.500 目录名称，则目录名。 `如果名称是` DNS 名称，则 dnsName。如果名称是 EDI 方名称，则 `ediPartyName`。 `如果` 名称是 URI （默认） `ipaddress (` 如果名称是 IP 地址)。IPv4 地址的格式必须是 n.n. n.n 或 n.n.n.n,m.m.m.m。例如：128 .21.39.40 或 128.21.39.40,255.255.255.00。IPv6 地址使用 128 位命名空间，其 IPv6 地址用冒号分隔，子网掩码由句点分隔。例如： 0:0:0:0:0:0:13.1.68.3,FF01::43,0:0:0:0:0:0:13.1.68.3,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:255.255.255.0, 和 FF01::43,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FF00:0000. 如果名称是对象标识符，则 `OID`。 `otherName` 如果名称采用任何其他名称形式；这支持 `PrintableString`,`IA5String`,`UTF8String`,`BMPString`,`Any`, 和 `KerberosName`。
namen	指定 general-name 值；允许的值取决于 `nameType` 字段中指定的名称类型。对于 `rfc822Name`，该值必须是有效的 Internet 电子邮件地址，格式为 local-part@domain 格式。对于 `directoryName`，该值必须是字符串 X.500 名称，类似于证书中的主题名称。例如： CN=CACentral,OU=Research Dept,O=Example Corporation,C=US。对于 `dNSName`，该值必须是 DNS 格式的有效域名。例如，testCA.example.com。对于 `ediPartyName`，该名称必须是 IA5String。例如，Example Corporation。对于 `URL`，该值必须是非相对 URI。例如： http://testCA.example.com。对于 `iPAddress`，该值必须是以点分开的数字组件表示法指定的有效 IP 地址。它可以是 IP 地址或 IP 地址，包括子网掩码。IPv4 地址的格式必须是 n.n. n.n 或 n.n.n.n,m.m.m.m。例如：128 .21.39.40 或 128.21.39.40,255.255.255.00。IPv6 地址使用 128 位命名空间，其 IPv6 地址用冒号分隔，子网掩码由句点分隔。例如： 0:0:0:0:0:0:13.1.68.3,FF01::43,0:0:0:0:0:0:13.1.68.3,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:255.255.255.0, 和 FF01::43,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FF00:0000. 对于 `OID`，值必须是唯一的、在点分隔的数字组件表示法中指定的有效 OID。例如，1.2 .3.4.55.6.99。虽然自定义 OID 可用于评估和测试服务器，但在生产环境中，符合用于定义 OID 和注册 ID 子树的 ISO 规则。对于 `otherName`，名称可以是任何其他格式；这支持 `PrintableString`,`IA5String`,`UTF8String`,`BMPString`,`Any`, 和 `KerberosName`。`PrintableString`,`IA5String`,`UTF8String`,`BMPString`, 以及将字符串设置为指定子树的 base-64 编码文件，如 /var/lib/pki/pki-tomcat/ca/othername.txt。`KerberosName` 具有 Realm\|NameType\|NameStrings，如 realm1\|0\|userID1,userID2。名称必须是文件的绝对路径，其以 base-64 编码格式包含通用名称。例如： /var/lib/pki/pki-tomcat/ca/extn/ian/othername.txt。

B.4.2.1.7. issuingDistributionPoint
复制链接

Issuing Distribution Point CRL 扩展标识了特定 CRL 的 CRL 发行版点，并指示它涵盖的撤销类型，如仅撤销最终证书、CA 证书或撤销具有有限原因代码的证书。

PKIX Part I 不需要此扩展。

OID

2.5.29.28

严重性

PKIX 需要将此扩展名至关重要。

Expand

表 B.45. IssuingDistributionPoint 配置参数
参数	描述
enable	设置是否启用扩展；默认是禁用的。
critical	将扩展标记为 critical、default 或 noncritical。
pointType	指定发布发行版本的类型： `directoryName` 指定类型是一个 X.500 目录名称。 `URI` 指定类型是统一的资源指示符。 `RelativeToIssuer` 指定类型是一个相对可分辨名称(RDN)，它代表 DN 的单个节点，如 `ou=Engineering`。
pointName	提供发布分发点的名称。发行版点的名称取决于为 `pointType` 参数指定的值。对于 `directoryName`，名称必须是 X.500 名称。例如，cn=CRLCentral,ou=Research Dept,o=Example Corporation,c=US。对于 `URIName`，该名称必须是绝对路径名的 URI，并指定主机。例如： http://testCA.example.com/get/crls/here/。注意 CRL 可以存储在与 CRL 发布点对应的目录条目中，这可能与 CA 的目录条目不同。
onlySomeReasons	指定与分发点关联的原因代码。 permissible 值是原因代码(`未指定`、`键完成、cACompromise` ,`affiliationChanged`, 被取代的`,` `cessationOfOperation`,`certificateHold`, 和 `removeFromCRL`)的组合。如果发行版点包含所有原因代码（默认）吊销的证书，请将该字段留空。
onlyContainsCACerts	指定发行版点仅在设置时包含用户证书。默认情况下，这没有被设置，这意味着分发点包含所有类型的证书。
indirectCRL	指定发行版点包含间接 CRL；默认情况下，不选择此点。

B.4.2.2. CRL 条目扩展
复制链接

以下章节列出了定义为互联网 X.509 v3 Public Key Infrastructure 建议标准的一部分定义的 CRL 条目扩展类型。所有这些扩展都不是关键的。

B.4.2.2.1. certificateIssuer
复制链接

Certificate Issuer 扩展标识了与间接 CRL 中条目关联的证书签发者。

此扩展仅用于间接 CRL，证书系统不支持这些扩展。

OID

2.5.29.29

B.4.2.2.2. invalidityDate
复制链接

Invalidity Date 扩展提供了私钥泄露的日期，或者证书无效。

OID

2.5.29.24

Expand

表 B.46. InvalidityDate 配置参数
参数	描述
enable	设置是否启用或禁用扩展规则。默认情况下启用此设置。
critical	将扩展标记为 critical 或非关键；默认情况下，扩展是非关键的。

B.4.2.2.3. CRLReason
复制链接

Reason Code 扩展标识证书撤销的原因。

OID

2.5.29.21

Expand

表 B.47. CRLReason 配置参数
参数	描述
enable	设置是否启用或禁用扩展规则。默认情况下启用此设置。
critical	将扩展标记为 critical 或 noncritical。默认情况下，这是非关键的。

B.4.3. Netscape 定义的证书扩展参考
复制链接

Netscape 为其产品定义了某些证书扩展。有些扩展现已过时，其他扩展已被 X.509 建议标准中定义的扩展替代。所有 Netscape 扩展都应标记为非关键扩展，因此它们在证书中存在不会使该证书与其他客户端不兼容。

B.4.3.1. netscape-cert-type
复制链接

Netscape 证书类型扩展可用于限制可使用证书的目的。它已被 X.509 v3 扩展第 B.3.6 节 “extKeyUsage” 和第 B.3.3 节 “basicConstraints” 替代。

如果证书中存在扩展，它会将证书限制为其中指定的使用。如果没有扩展，则证书可用于所有应用程序，但对象签名除外。

该值是一个位字符串，在设置时单个位位置，认证特定使用的证书，如下所示：

位 0：SSL 客户端证书
第 1 位：SSL 服务器证书
第 2 位：S/MIME 证书
第 3 位：对象签名证书
位 4：保留
第 5 位：SSL CA 证书
位 6：S/MIME CA 证书
位 7：对象签名 CA 证书

OID

2.16.840.1.113730.1.1

B.4.3.1.1. Netscape-comment
复制链接

此扩展的值是 IA5String。这是一个注释，可在查看证书时向用户显示。

OID

2.16.840.1.113730.13

返回顶部

B.4. CRL 扩展

B.4.1. 关于 CRL 扩展
复制链接

B.4.1.1. CRL 扩展的结构
复制链接

B.4.1.2. CRL 和 CRL 条目扩展示例
复制链接

B.4.2. 标准 X.509 v3 CRL 扩展参考
复制链接

B.4.2.1. CRL 的扩展
复制链接

B.4.2.1.1. authorityInfoAccess
复制链接

B.4.2.1.2. authorityKeyIdentifier
复制链接

B.4.2.1.3. CRLNumber
复制链接

B.4.2.1.4. deltaCRLIndicator
复制链接

B.4.2.1.5. FreshestCRL
复制链接

B.4.2.1.6. issuerAltName
复制链接

B.4.2.1.7. issuingDistributionPoint
复制链接

B.4.2.2. CRL 条目扩展
复制链接

B.4.2.2.1. certificateIssuer
复制链接

B.4.2.2.2. invalidityDate
复制链接

B.4.2.2.3. CRLReason
复制链接

B.4.3. Netscape 定义的证书扩展参考
复制链接

B.4.3.1. netscape-cert-type
复制链接

B.4.3.1.1. Netscape-comment
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

B.4. CRL 扩展

B.4.1. 关于 CRL 扩展复制链接链接已复制到粘贴板!

B.4.1.1. CRL 扩展的结构复制链接链接已复制到粘贴板!

B.4.1.2. CRL 和 CRL 条目扩展示例复制链接链接已复制到粘贴板!

B.4.2. 标准 X.509 v3 CRL 扩展参考复制链接链接已复制到粘贴板!

B.4.2.1. CRL 的扩展复制链接链接已复制到粘贴板!

B.4.2.1.1. authorityInfoAccess复制链接链接已复制到粘贴板!

B.4.2.1.2. authorityKeyIdentifier复制链接链接已复制到粘贴板!

B.4.2.1.3. CRLNumber复制链接链接已复制到粘贴板!

B.4.2.1.4. deltaCRLIndicator复制链接链接已复制到粘贴板!

B.4.2.1.5. FreshestCRL复制链接链接已复制到粘贴板!

B.4.2.1.6. issuerAltName复制链接链接已复制到粘贴板!

B.4.2.1.7. issuingDistributionPoint复制链接链接已复制到粘贴板!

B.4.2.2. CRL 条目扩展复制链接链接已复制到粘贴板!

B.4.2.2.1. certificateIssuer复制链接链接已复制到粘贴板!

B.4.2.2.2. invalidityDate复制链接链接已复制到粘贴板!

B.4.2.2.3. CRLReason复制链接链接已复制到粘贴板!

B.4.3. Netscape 定义的证书扩展参考复制链接链接已复制到粘贴板!

B.4.3.1. netscape-cert-type复制链接链接已复制到粘贴板!

B.4.3.1.1. Netscape-comment复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

B.4.1. 关于 CRL 扩展
复制链接

B.4.1.1. CRL 扩展的结构
复制链接

B.4.1.2. CRL 和 CRL 条目扩展示例
复制链接

B.4.2. 标准 X.509 v3 CRL 扩展参考
复制链接

B.4.2.1. CRL 的扩展
复制链接

B.4.2.1.1. authorityInfoAccess
复制链接

B.4.2.1.2. authorityKeyIdentifier
复制链接

B.4.2.1.3. CRLNumber
复制链接

B.4.2.1.4. deltaCRLIndicator
复制链接

B.4.2.1.5. FreshestCRL
复制链接

B.4.2.1.6. issuerAltName
复制链接

B.4.2.1.7. issuingDistributionPoint
复制链接

B.4.2.2. CRL 条目扩展
复制链接

B.4.2.2.1. certificateIssuer
复制链接

B.4.2.2.2. invalidityDate
复制链接

B.4.2.2.3. CRLReason
复制链接

B.4.3. Netscape 定义的证书扩展参考
复制链接

B.4.3.1. netscape-cert-type
复制链接

B.4.3.1.1. Netscape-comment
复制链接