更新时间:2022-07-18 GMT+08:00
配置CRL发布服务器
背景信息
CA服务支持将CRL通过手动方式或者自动发布的方式将CA对应的CRL发布到CRL服务器。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 在“CRL发布服务器”页签中单击“新增”,配置各项参数。
参数说明请参见表1。
表1 CRL发布服务器参数说明表 参数
说明
取值建议
名称
CRL发布服务器的名称。
请输入1~45位字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
缺省值:无
建议值:无
IP地址
添加服务器IP地址。
缺省值:无
建议值:无
协议
CRL发布服务器的类型。
LDAP服务器最多添加5个,FTP服务器最多添加5个。
须知:鉴于LDAP协议比FTP协议有更多安全保证,建议选择LDAP协议。
缺省值:LDAP
建议值:LDAP
使用TLS
通过TLS协议将CRL发布到LDAP服务器或者FTP服务器。
须知:不使用TLS协议存在安全风险!
缺省值:是
建议值:是
端口
服务器端口号。
- 端口只能为1~65535的整数。
- 选择LDAP协议且不使用TLS协议时,端口号缺省值为389。选择LDAP协议且使用TLS协议时,端口号缺省值为636。选择FTP协议时,端口号缺省值为21。
- 缺省值:636
- 建议值:636
须知:鉴于LDAP协议比FTP协议有更多安全保证,建议选择LDAP协议。
登录名
登录关联服务器的名称。
登录名长度必须为1~128个字符,且不能包含特殊字符(/\:*?"<>|)。
缺省值:无
建议值:无
登录口令
登录关联服务器的密码。
密码长度为6~64个字符,至少包含数字、大小写字母、特殊字符中的其中3种,并且密码不能与登录名或登录名的倒写一样。
缺省值:无
建议值:无
发布目录
发布CRL到关联服务器的目录。用户可使用系统生成的文件路径名或区别名等参数,和CA服务的CRL服务器进行对接。
- FTP服务器的发布目录为用户自定义的路径名称,例如a/b。创建CRL发布服务器成功后,系统生成的文件路径名为:FTP服务根目录/发布目录/该服务器关联的CA名称/CRL文件名称,其中,CRL文件名称为CA名称,扩展名为".crl",例如,/home/ftpuser/a/b/caname/caname.crl。
- LDAP服务器的发布目录为LDAP路径名称,例如,CN=common name, O=organization, OU=organization unit。创建CRL发布服务器后,系统生成的区别名为:CN=该服务器关联的CA名称,发布目录,例如,CN=caname, CN=common name, O=organization, OU=organization unit。
缺省值:无
建议值:无
信任证书链
上传本地证书链文件。
须知:当RSA密钥长度为1024,或者当前上传的信任证书使用了SHA1withRSA算法时,存在一定的安全风险!
- 上传的证书文件必须是.pem、.cer或.crt格式。
- 上传的证书必须是一个完整的证书链,最多只能上传10个文件,且单个文件大小小于100KB。总文件大小小于100KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
- 缺省值:无
- 建议值:无
- 完成配置后,单击“提交”。
父主题: CA服务
