支持控制台(Console)开发人员开始试用联系人

6.3. 发出 CRL

重要

pkiconsole 上配置 CRL 颁发点的标签页无法正常工作,且不会响应 "submit"。由于 pkiconsole 的弃用,请在安装时直接编辑 CA 的 CS.cfg,或使用替代 pki cli 方法来配置参数。例如: 

# pki-server ca-config-set -i rhcs10-RSA-RootCA <param name> <param value>

有关相关的配置参数名称/值对,请参阅 7.3.8 节。在规划、安装和部署指南(Common Standard Edition)中配置对 CRL 发布点的支持。

  1. 证书管理器使用其 CA 签名证书密钥为 CRL 签名。要将单独的签名密钥对用于 CRL,请设置 CRL 签名密钥并更改证书管理器配置以使用此密钥签名 CRL。请参阅 第 6.3.4 节 “将 CA 设置为使用不同的证书为 CRL 进行签名” 了解更多信息。

  2. 设置 CRL 发布点。已经为 master CRL 设置并启用一个发行点。

    图 6.3. 默认 CRL 发布点

    CRL 默认列表

    可以为 CRL 创建额外的问题点。详情请查看 第 6.3.1 节 “配置发布点”

    发布点可以创建五种类型,具体取决于在配置发行点时设置的选项,以定义 CRL 将列出的内容:

    • Master CRL 包含从整个 CA 中撤销的证书的列表。
    • ARL 是一个授权撤销列表,仅包含撤销的 CA 证书。
    • 带有过期证书的 CRL 包括撤销在 CRL 中过期的证书。
    • 从证书配置集的 CRL 会根据最初用来创建证书的配置集 决定撤销的证书。
    • 原因代码根据撤销原因代码决定要包含的证书的 CRL
  3. 为每个发布点配置 CRL。详情请查看 第 6.3.2 节 “为每个发布点配置 CRL”
  4. 设置为发布点配置的 CRL 扩展。详情请查看 第 6.3.3 节 “设置 CRL 扩展”
  5. 通过为该发出点、DeltaCRLIndicatorCRLNumber 启用扩展来为发布点设置 delta CRL。
  6. 设置 CRLDistributionPoint 扩展,使其包含有关发出点的信息。
  7. 将 CRL 设置为文件、LDAP 目录或 OCSP 响应器。有关设置发布的详情,请查看 第 7 章 发布证书和 CRL

6.3.1. 配置发布点

发出点定义了哪些证书包含在新的 CRL 中。默认情况下,为 master CRL 创建 master CRL 发布点,其中包含证书管理器的所有撤销证书的列表。

要创建新发行点,请执行以下操作:

  1. 打开证书系统控制台。 

    pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
    注意

    pkiconsole 已被弃用,并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用,但我们鼓励在此鼓励使用命令行与 pkiconsole 等效,因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。

  2. Configuration 选项卡中,从左侧导航菜单中展开 Certificate Manager。然后选择 CRL 颁发点

  3. 要编辑发布点,请选择发布点,然后单击 Edit。可以编辑的唯一参数是发出点的名称,以及问题点是启用或禁用的。

    要添加问题点,请单击 Add。这时将打开 CRL Issuing Point Editor 窗口。

    图 6.4. CRL 发布点编辑器

    新发布点
    注意

    如果某些字段不足以读取内容,请通过拖动一个页面来扩展窗口。

    填写以下字段:

    • 启用。如果选择,则启用发布点;取消选择 disable。
    • CRL 颁发点名称.为发出点指定名称;不允许使用空格。
    • 描述.描述发布点。
  4. OK

要查看和配置新的发布点,请关闭 CA 控制台,然后再次打开控制台。新的发行点列在导航树中的 CRL Issuing Points 条目下。

为新发布点配置 CRL,并设置用于 CRL 的任何 CRL 扩展。有关配置发行点的详情,请查看 第 6.3.2 节 “为每个发布点配置 CRL”。有关设置 CRL 扩展的详情,请参阅 第 6.3.3 节 “设置 CRL 扩展”。所有创建的 CRL 都会出现在代理服务页的 Update Revocation List 页面中。

6.3.2. 为每个发布点配置 CRL

信息(如生成间隔、CRL 版本、CRL 扩展和签名算法)都可以为发出点配置 CRL。必须为每个发布点配置 CRL。

  1. 打开 CA 控制台。 

    pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
    注意

    pkiconsole 已被弃用,并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用,但我们鼓励在此鼓励使用命令行与 pkiconsole 等效,因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。

  2. 在导航树中,选择 Certificate Manager,然后选择 CRL Issuing Points
  3. 选择 Issuing Points 条目下的问题点名称。

  4. 通过在 Update 选项卡中提供信息来配置 CRL 的更新频率和频率。此选项卡有两个部分: Update SchemaUpdate Frequency

    CRL updates 标签页

    • Update Schema 部分有以下选项:

      • 启用 CRL 生成。此复选框设定是否为该发出点生成 CRL。
      • 生成完整的 CRL 每个 # delta (s)。此字段设定与更改数量相关的 CRL 的频率。
      • 使用 完整的 CRL 扩展下一次更新时间。这提供了在生成的 CRL 中设置 nextUpdate 字段的选项。nextUpdate 参数显示发布下一个 CRL 时的日期,无论它是完整的或 delta CRL。当使用 full 和 delta CRL 的组合时,在完整的 CRL 中启用扩展下一次更新时间 时,将在下一个完整的 CRL 中显示 nextUpdate 参数。否则,完整的 CRL 中的 nextUpdate 参数将显示发布下一个 delta CRL 时,因为 delta 将是要发布的下一个 CRL。

    • 当生成 CRL 并发布到目录时,Update Frequency 部分会设置不同的间隔。

      • 每次证书被撤销或从中释放时。这会设置证书管理器,以在每次撤销证书时生成 CRL。证书管理器会在生成时尝试向配置的目录发出 CRL。如果 CRL 较大,生成 CRL 可能会非常耗时。将证书管理器配置为在每次撤销证书时都会生成 CRL。在此时间内,服务器将无法更新目录并接收任何更改。

        不建议在标准安装中使用这个设置。此选项应选择立即撤销,例如测试服务器是否向平面文件发送 CRL。

      • 更新位于 的 CRL。当应该更新 CRL 时,此字段会设置每天的时间。要指定多次,请输入逗号分隔的次数,如 01:50,04:55,06:55。要为多个天数输入调度,请输入以逗号分隔的列表在同一天内设定时间,然后输入分号分隔的列表来识别不同天的时间。例如,这会在周期的第 1 天、1:50am、4:55am 和 6:55am 以及第 2 天(下午 2am、5am 和 5pm)设置撤销: 

        01:50,04:55,06:55;02:00,05:00,17:00

      • 更新每个 的 CRL。此复选框可在字段中设置的间隔生成 CRL。例如,若要每天发出 CRL,请选中复选框,然后在此字段中输入 1440

      • 下一次更新宽限期。如果证书管理器以特定频率更新 CRL,则可以将服务器配置为具有下一次更新时间的宽限期,以便有时间创建 CRL 并发布它。例如,如果服务器被配置为每 20 分钟更新 CRL,且宽限期为 2 分钟,如果 CRL 在 16:00 中更新,则 CRL 将在 16:18 再次更新。
      • 在此更新扩展时,更新。此字段(ca.crl.MasterCRL.nextAsThisUpdateExtension in CS.cfg)为下一个 Full CRL 更新配置时间间隔。它从当前更新时间扩展更新间隔。如果 Next update 小于 Next update 宽限期,则 Next 更新会保留在课程上。但是,如果其更大,则 Next update time 被设置为("extension" time + the grace period)。例如,如果 CRL 设置为每 3 分钟更新一次 3 分钟,且有 60 分钟的 Next 更新,且宽限期为 1 分钟,且当前更新为 5:30 AM,则将调度下一次更新 6:31 AM (当前更新后60 分钟)。
    重要

    由于一个已知问题,当当前设置 full 和 delta Certificate Revocation List 调度时,每次从 hold 选项撤销或释放证书时,还会要求您填写两个 宽限期 设置。因此,要选择这个选项,您需要首先选择 Update CRL every 选项,并为 Next update grace period # 分钟 框输入一个数字。

  5. Cache 选项卡设置是否启用缓存以及缓存频率。

    图 6.5. CRL cache 标签页

    CRL cache 标签页
    • 启用 CRL 缓存。此复选框启用缓存,用于创建 delta CRL。如果禁用了缓存,则不会创建 delta CRL。有关缓存的详情,请参考 第 6.1 节 “关于撤销证书”
    • 更新每个 的缓存。此字段设置缓存写入内部数据库的频率。设置为 0, 在每次撤销证书时将缓存写入数据库。
    • 启用缓存恢复。此复选框允许恢复缓存。
    • 启用 CRL 缓存测试。此复选框为特定 CRL 发出点启用 CRL 性能测试。使用此选项生成的 CRL 不应用于部署的 CA,因为为测试目的发布的 CRL 包含只为性能测试而生成的数据。

  6. Format 选项卡设置创建的 CRL 的格式和内容。有两个部分: CRL 格式CRL 内容

    图 6.6. CRL 格式标签页

    CRL 格式标签页

    • CRL Format 部分有两个选项:

      • 吊销列表签名算法 是允许密码加密 CRL 的下拉列表。

        注意

        不再支持 SHA1。

      • 允许 CRL v2 的扩展 是一个复选框,它为发出点启用 CRL v2 扩展。如果启用了此项,请设置 第 6.3.3 节 “设置 CRL 扩展” 中描述的所需的 CRL 扩展。

        注意

        必须打开扩展来创建 delta CRL。

    • CRL Contents 部分有 4 个复选框,它设定要在 CRL 中包含的证书类型:

      • 包括过期的证书。这包括已过期的证书。如果启用了此功能,证书过期后关于撤销的证书的信息保留在 CRL 中。如果没有启用,证书过期时会删除关于吊销证书的信息。
      • 额外时间包含证书吊销 后。这包括证书在过期后一次吊销的证书列表,确保撤销的证书信息保留在 CRL 中,直到下一次更新为止,为系统提供额外的时间来识别和管理其状态,即使在过期后也是如此。
      • 仅 CA 证书。这只包含 CRL 中的 CA 证书。选择这个选项会创建一个授权撤销列表(ARL),它仅列出撤销的 CA 证书。
      • 根据配置文件发布的证书。这仅包含根据列出的配置集发布的证书;要指定多个配置集,请输入以逗号分隔的列表。
  7. 点击 Save
  8. 此发布点允许扩展,并可配置。详情请查看 第 6.3.3 节 “设置 CRL 扩展”

6.3.3. 设置 CRL 扩展

注意

只有为该发出点选择了 Allow extensions for CRL v2 复选框时,才需要为发布点配置扩展。

创建发行点时,会自动启用三个扩展: CRLReasonInvalidityDateCRLNumber。其他扩展可用,但默认情况下是禁用的。可以启用和修改它们。有关可用的 CRL 扩展的更多信息,请参阅 第 B.4.2 节 “标准 X.509 v3 CRL 扩展参考”

要配置 CRL 扩展,请执行以下操作:

  1. 打开 CA 控制台。 

    # pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
    注意

    pkiconsole 已被弃用,并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用,但我们鼓励在此鼓励使用命令行与 pkiconsole 等效,因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。

  2. 在导航树中,选择 Certificate Manager,然后选择 CRL Issuing Points

  3. 选择 Issuing Points 条目下的问题点名称,然后在发出点下选择 CRL 扩展 条目。

    右侧窗格显示 CRL Extensions Management 选项卡,它列出了配置的扩展。

    图 6.7. CRL 扩展

    CRL 扩展
  4. 要修改规则,请选择它,然后单击 Edit/View
  5. 大多数扩展都有两个选项,启用它们和设置它们是否至关重要。有些人需要更多信息。提供所有必需的值。有关每个扩展以及这些扩展的参数的完整信息,请参阅 第 B.4.2 节 “标准 X.509 v3 CRL 扩展参考”
  6. OK
  7. Refresh 查看所有规则的更新状态。

6.3.4. 将 CA 设置为使用不同的证书为 CRL 进行签名

有关如何通过编辑 CS.cfg 文件来配置此功能的说明,请参阅 9.2.3.10 设置 CA,以便在 规划、安装和部署指南(Common standard Edition) 中使用不同的证书来签名 CRL

6.3.5. 从缓存生成 CRL

默认情况下,CRL 从 CA 的内部数据库生成。但是,当证书被撤销并保存在内存中时,可以收集撤销信息。然后,可以使用这个撤销信息从内存中更新 CRL。绕过所需的数据库搜索,以便从内部数据库生成 CRL 可显著提高性能。

注意

由于从缓存生成 CRL 的性能增强,在大多数环境中启用 enableCRLCache 参数。但是,在生产环境中 不应 启用 Enable CRL cache testing 参数。

在控制台中从缓存中配置 CRL 生成

  1. 打开控制台。 

    # pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
    注意

    pkiconsole 已被弃用,并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用,但我们鼓励在此鼓励使用命令行与 pkiconsole 等效,因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。

  2. Configuration 选项卡中,展开 Certificate Manager 文件夹和 CRL Issuing Points 子文件夹。

  3. 选择 MasterCRL 节点。

    CRL sched1

  4. 选择 Enable CRL cache

    CRL cache 标签页
  5. 保存更改。
从 CS.cfg 中的缓存配置 CRL 生成

有关如何通过编辑 CS.cfg 文件来配置此功能的说明,请参阅 规划、安装和部署指南(Common 标准版本) 中的 CS.cfg 中的 9.2.3.11 配置 CRL 代

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.