7.4. 设置 Full 和 Delta CRL 计划

CRL 定期生成。在第 7.3.2 节 “为每个颁发点配置 CRL” 中的配置中设定该周期。

CRL 根据基于时间的调度进行。当证书被撤销、一天的特定时间或每这个分钟一次进行一次时，可以发布 CRL。

基于时间的 CRL 生成调度适用于生成的每个 CRL。CRL 有两种类型，即完全 CRL 和 delta CRL。完整的 CRL 具有每个撤销的证书的记录，而 delta CRL 则仅包含生成自最后一个 CRL （增量或完整）后撤销的证书。

默认情况下，在调度中的每个指定间隔都会生成完整的 CRL。通过生成内部 delta CRLs，有可能造成生成完整 CRL 之间的时间。生成间隔在 CRL 模式中配置，它会设置生成 delta 和 full CRL 的方案。

如果间隔设置为 3，则第一个 CRL 生成的是 full 和 delta CRL，则下一个两代更新仅是 delta CRL，然后第四个间隔是 full 和 delta CRL。换句话说，每个第三个间隔都具有完整的 CRL 和 delta CRL。

Interval   1, 2, 3, 4, 5, 6, 7 ...
Full CRL   1        4        7 ...
Delta CRL  1, 2, 3, 4, 5, 6, 7 ...

注意

除了完整 CRL 外，要生成 delta CRL，必须启用 CRL 缓存。

注意

pkiconsole 已被弃用。

打开控制台。

pkiconsole https://server.example.com:8443/ca

在 Configuration 选项卡中，展开 Certificate Manager 文件夹和 CRL 颁发点子文件夹。
选择 MasterCRL 节点。
在 Generate full CRL (s) 字段中输入所需的间隔。
通过指定证书撤销的 occasion、cyclical 间隔或设置更新的时间来设置更新频率：
- 选择 Update CRL，每次撤销或从暂停复选框中释放证书时。每次从 hold 选项撤销或发布证书时，Update CRL 都需要填写两个 Grace period 设置。这是一个已知问题，程序错误在 Red Hat Bugzilla 中被跟踪。
- 选择 Update CRL，每次撤销或从暂停复选框中释放证书时。
- 选择 Update CRL at 复选框，并输入用逗号分开的特定时间，如 01:50,04:55,06:55。
- 选择 Update CRL every 复选框并输入所需的间隔，如 240。
保存更改。

重要

每次从 hold 选项撤销或发布证书时，Update CRL 都需要填写两个宽限期设置。这是一个已知问题，程序错误在 Red Hat Bugzilla 中被跟踪。

注意

根据间隔更新 CRL 时，可能会发生调度偏移。通常，因为手动更新和 CA 重启，会进行偏移。

要防止调度偏移，请选中 Update CRL at 复选框并输入值。间隔更新将每 24 小时的值重新同步 Update CRL。

根据间隔更新 CRL 时，只能接受一个 Update CRL。

有关如何通过编辑 CS.cfg 文件配置此功能的说明，请参阅 Red Hat Certificate System 规划、安装和部署指南中的 为 CRL 配置 Update Intervals 部分。

默认情况下，CRL 生成计划覆盖 24 小时。另外，当默认启用 full 和 delta CRLs 时，会以特定间隔或所有 delta CRLs 代替每个第三个更新。

要在多个天数内设置 CRL 生成调度，时间列表使用逗号分隔同一天内的时间，一个分号来取消限制天数：

ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00;02:00,05:00,17:00

本例更新了位于 01:00, 03:00, 和 18:00 的时间表之日的 CRL，并在一天中的 02:00, 05:00, 和 17:00 调度中更新。在 3 天开始周期。

注意

分号表示一天。以分号开始列表会导致生成 CRL 的初始天。同样，以分号结尾的列表也会在没有生成 CRL 的调度中添加最后一天。两个分号一起会导致一天没有 CRL 生成。

要设置独立于 delta 更新的完整 CRL 更新，列表接受带有星号的时间值，以指示何时发生完整的 CRL 更新：

ca.crl.MasterCRL.dailyUpdates=01:00,03:00,18:00,*23:00;02:00,05:00,21:00,*23:30

本例每天在 01:00、03:00 和 18:00 时生成 delta CRL 更新，其完整和 delta CRL 更新于 23:00。在第二天，delta CRL 在 02:00、05:00 和 21:00 中更新，其完整和 delta CRL 更新为 23:30。在第 3 天，周期会再次开始。

注意

分号和星号语法可在控制台中和手动编辑 CS.cfg 文件时工作。