7.4. 设置 Full 和 Delta CRL Schedules
CRL 定期生成。在 第 7.3.2 节 “为每个发行点配置 CRL” 中的配置中涉及该周期。
根据基于时间的时间表发布 CRL。每次证书被在特定时间或每一天一次撤销一次 CRL 时,可以发布一次 CRL。
基于时间的 CRL 生成计划适用于生成的每个 CRL。有两种类型的 CRL,完整的 CRL 和 delta CRL。完整的 CRL 拥有每个已撤销的证书,而 delta CRL 仅包含自上次 CRL(增量或完整)被撤销的证书。
默认情况下,按照调度的每个指定间隔生成完整的 CRL。通过生成 增量 CRL,可以在生成完整 CRL 之间耗尽时间。在 CRL 模式 中配置生成间隔,它会设置生成 delta 和完整 CRL 的方案。
如果间隔设为 3,例如,生成的第一个 CRL 将是 full 和 delta CRL,那么下一个生成的更新仅是 delta CRL,则第四个间隔同时是 full 和 delta CRL。换句话说,每个第三代间隔都有完整的 CRL 和 delta CRL。
Interval 1, 2, 3, 4, 5, 6, 7 ... Full CRL 1 4 7 ... Delta CRL 1, 2, 3, 4, 5, 6, 7 ...
注意
除了完整的 CRL 外,要生成 delta CRL,必须启用 CRL 缓存。
7.4.1. 在控制台中配置 CRL 更新间隔
- 打开控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,展开 Certificate Manager 文件夹和 CRL 签发点 子文件夹。
- 选择 MasterCRL 节点。
- 在 Generate full CRL every # delta(s) 字段中输入所需的间隔。
- 通过指定证书重新调用、循环间隔或设置更新所需的时间来设置更新频率:
- 每次证书被撤销或释放证书时,选择更新 CRL。每次从 hold 选项撤销或释放证书时,更新 CRL 还需要填写两个 Grace period 设置。这是一个已知问题,错误会在 Red Hat Bugzilla 中跟踪。
- 每次证书被撤销或释放证书时,选择更新 CRL。
- 选中 Update CRL at 复选框,并输入以逗号分开的特定时间,如 01:50,04:55,06:55。
- 选择 更新 CRL 并输入所需间隔,如 240。
- 保存更改。
重要
每次从 hold 选项撤销或释放证书时,更新 CRL 还需要填写两个 宽限期 设置。这是一个已知问题,错误会在 Red Hat Bugzilla 中跟踪。
注意
按间隔更新 CRL 时可能会出现调度偏移。通常,偏移会因手动更新和 CA 重启而出现。
要防止调度偏移,请选中 Update CRL at 复选框,然后输入一个值。更新间隔更新将每 24 小时重新同步 更新 CRL 的值。
当按间隔 更新 CRL 时,只接受值的更新 CRL。