证书吊销列表管理

PCA服务中，对证书吊销列表（Certificate Revocation List， CRL）的管理有以下约束：

• 仅当创建私有CA时，启用了证书吊销列表配置，吊销证书后才会发布吊销列表。
  

  当父CA未启用CRL时，被吊销的证书不会被写进吊销列表中，意味着校验证书时，证书仍可通过吊销验证，即存在安全隐患。有吊销证书需求的用户，请务必启用CRL配置。

• 当前只允许将CRL发布至用户授权的OBS桶中，不允许自定义其它地址。
• 启用CRL配置后，发布的CRL文件的访问策略与用户的OBS策略有关，用户可至对象存储服务（Object Storage Service，OBS），对已授权的OBS桶设置自定义访问策略。
• 证书一旦被吊销，将不可再恢复。
• 处于吊销状态的证书，将不被信任（被发布至CRL中）。

• 当证书被吊销后，PCA服务会在30分钟内将其写进CRL（当其父CA启用CRL时），并更新进OBS桶中。若发布CRL失败，会间隔15分钟后，再次尝试生成。
• 当发布新CRL的定时任务开启时，若私有CA已被删除或已过期、OBS桶被删除或授权被取消，定时任务将执行失败。
• 在CRL的有效期内，若私有CA未吊销过子证书，则只有过了有效期后（可能会延迟30分钟左右），才会生成新的CRL，有效期支持7~30天。

• 适合的吊销原因，可使证书吊销列表传达的吊销信息更准确。

  PCA服务中默认的吊销原因为“UNSPECIFIED”，吊销原因可选值及其含义如表 吊销理由及含义所示。

  表1 吊销原因及含义

  吊销理由	对应RFC 5280标准中的吊销理由码	含义
  UNSPECIFIED	0	吊销时未指定吊销原因，为默认值
  KEY_COMPROMISE	1	证书密钥材料泄露
  CERTIFICATE_AUTHORITY_COMPROMISE	2	签发路径上，存在CA密钥材料泄露
  AFFILIATION_CHANGED	3	证书中的主体或其他信息已经被改变
  SUPERSEDED	4	证书已被取代
  CESSATION_OF_OPERATION	5	证书或签发路径中的实体已停止运营
  CERTIFICATE_HOLD	6	证书当前不应被视为有效，将来可能会生效
  PRIVILEGE_WITHDRAWN	9	证书不再有权声明其列出的属性
  ATTRIBUTE_AUTHORITY_COMPROMISE	10	担保证书属性的机构可能已受到损害

  

  PCA服务中关于吊销理由的命名与国际标准存在差异，您可以通过吊销理由码查询RFC 5280标准中对吊销理由的相关描述。