7.3.2. 为每个发行点配置 CRL
在发出点上,都可为 CRL 生成间隔、CRL 扩展和签名算法配置信息。必须为每个发出点配置 CRL。
- 打开 CA 控制台。
pkiconsole https://server.example.com:8443/ca
- 在导航树中,选择 Certificate Manager,然后选择 CRL Issuing Points。
- 选择 Issuing Points 条目下方的发布点名称。
- 通过提供发布点的 Update 选项卡中的信息,配置 CRL 如何和更新的频率。此选项卡有两个部分,即 Update Schema 和 Update Frequency。
- Update Schema 部分有以下选项:
- 启用 CRL 生成。此复选框设置是否为该发出点生成 CRL。
- 每 # delta(s)生成完整的 CRL。此字段根据更改数量设置如何创建 CRL 的频率。
- 下次在完整的 CRL 中扩展更新时间。这提供了一个选项,可在生成的 CRLs 中设置 nextUpdate 字段。
nextUpdate
参数显示发布下一个 CRL 的日期,无论它是完整的还是 delta CRL。当使用完整和 delta CRL 的组合时,在完整 CRL 中启用下一次
更新时间将使下一个Update
参数在完整的 CRL 中显示,当下 一个完整的 CRL 时。否则,完整 CRL 中的nextUpdate
参数会显示何时发出下一个 delta CRL,因为增量是要发布的下一个 CRL。
- Update Frequency 部分在生成 CRL 并发布到目录中时设置不同的间隔。
- 每次证书被撤销或释放证书时,都会为。这会将证书管理器设置为在每次撤销证书时生成 CRL。证书管理器会在生成 CRL 时尝试向已配置的目录发出 CRL。如果 CRL 较大,则生成 CRL 会消耗大量时间。将证书管理器配置为在每次撤销证书时生成 CRL,可能会使服务器参与大量时间;在此期间,服务器将无法更新接收任何更改的目录。不建议在标准安装中使用此设置。应该选择这个选项来立即测试撤销,例如测试服务器是否将 CRL 发送到平面文件。
- 下次更新宽限期。如果证书管理器以特定频率更新 CRL,可以将服务器配置为在下次更新时有一个宽限期,以允许创建 CRL 并发出它。例如,如果服务器被配置为每 20 分钟更新一次 CRL,则宽限期为 2 分钟,如果 CRL 在 16:00 上更新,则 CRL 会重新更新 16:18。
重要由于一个已知问题,当当前设置 full 和 delta Certificate Revocation List 计划时,每次从 hold 选项撤销或释放证书时,更新 CRL
也要求您填充两个宽限期
设置。因此,要选择此选项,首先需要选择更新 CRL 每一个
选项,并为下一步更新宽限期 # 分钟
输入数字。 - Cache 选项卡设置是否启用缓存以及缓存频率。
图 7.3. CRL Cache 选项卡
- 启用 CRL 缓存。这个复选框启用了缓存,用于创建 delta CRL。如果禁用了缓存,则不会创建 delta CRL。有关缓存的详情请参考 第 7.1 节 “关于撤销证书”。
- 更新每个缓存。此字段设定将缓存写入内部数据库的频率。设置为 0, 在每次撤销证书时,将缓存写入数据库。
- 启用缓存恢复。这个复选框允许恢复缓存。
- 启用 CRL 缓存测试。此复选框为特定 CRL 发出点启用 CRL 性能测试。使用这个选项生成的 CRL 不应在部署的 CA 中使用,因为为测试目的发布的 CRL 包含只为性能测试生成的数据。
- Format 选项卡设定创建的 CRL 的格式和内容。CRL Format 和 CRL 内容有两个部分。
图 7.4. CRL Format 选项卡
- CRL Format 部分有两个选项:
- 撤销列表签名算法 是一个允许加密 CRL 的密码的下拉列表。
- 允许 CRL v2 的扩展是一个复选框,为 发出点启用 CRL v2 扩展。如果启用了此项,请设置 第 7.3.3 节 “设置 CRL 扩展” 中描述的所需 CRL 扩展。
注意必须开启扩展来创建 delta CRL。 - CRL Contents 部分有三个复选框,用于设置要在 CRL 中包含哪些类型的证书:
- 包括过期的证书。这包括已撤销已过期的证书。如果启用此项,有关已撤销证书的信息会在证书过期后保留在 CRL 中。如果没有启用此项,则证书过期时会删除关于已撤销证书的信息。
- 仅 CA 证书.这只包括 CRL 中的 CA 证书。选择这个选项会创建一个授权 Revocation List(ARL),它仅列出已撤销的 CA 证书。
- 根据配置文件发布的证书.这只包括根据列出的配置集发布的证书 ; 指定多个配置集,输入用逗号分开的列表。
- 点。
- 此发布点允许扩展,并可配置。详情请查看 第 7.3.3 节 “设置 CRL 扩展”。