配置CRL服务器对接参数

前提条件

• 已具备创建、修改、查询和删除CRL服务器设置的权限。
• 已获取CRL服务器的相关信息，如服务器IP地址、服务器端口、用户名、用户名对应密码和校验服务器使用的信任证书等。

操作步骤

1. 在主菜单中选择“系统 > 关于 > CA代理服务”。
2. 在左侧导航树中选择“CRL服务器对接配置”。
3. 单击“新增”，根据实际需求配置对接CRL服务器的参数。

   参数说明请参见表1。

   表1 CRL发布服务器参数说明表

   参数			说明	取值建议
   名称			CRL发布服务器的名称。	名称长度必须为1~45个字符，由数字、字母、下划线或中划线组成。 名称不可为“null”或“all”（不区分大小写）。
   IP地址			CRL发布服务器的IP地址。	N/A
   协议			CRL发布服务器的类型。	缺省情况下为“LDAP”。
   使用TLS			通过TLS协议将CRL发布到LDAP服务器或者FTP服务器。 说明： 如果选择“是”，需要配置信任证书链。 如果选择“否”，不需要配置信任证书链。 须知： 不使用TLS协议存在安全风险！	缺省情况下为“是”。
   端口			CRL发布服务器的端口。	端口只能为1~65535的整数。 选择LDAP协议且不使用TLS协议时，端口号缺省值为389。 选择LDAP协议且使用TLS协议时，端口号缺省值为636。 选择FTP协议时，端口号缺省值为21。
   登录名			登录CRL发布服务器的名称。	登录名长度必须为1~128个字符，且不能包含特殊字符(/\:*?"<>|)。
   登录口令			登录CRL发布服务器的密码。	密码长度为6~64个字符，至少包含数字、大小写字母、特殊字符中的其中3种，并且密码不能与登录名或登录名的倒写一样。
   区别名			CRL文件在LDAP服务器上存储条目的唯一的标识。	样例值：dc=mydomain,dc=org
   文件路径名			CRL文件在FTP服务器上的存储路径，文件路径名配置中要给出所请求的CRL文件名。	样例值：/root/foobar/testca/testca.crl
   信任证书链			通信过程中，本端使用该信任证书链校验CRL服务器是否可信。	上传的证书文件必须是.pem格式。 上传的证书必须是一个完整的证书链，最多只能上传10个文件，且单个文件大小小于100KB。总文件大小小于100KB。 证书文件名称长度必须为1~256个字符，由中文、数字、字母、下划线、中划线、空格、“.”、“(”、“)”组成，且不能以“.”或空格开头。
   CA服务器			选择关联的CA服务器。	N/A

4. 单击“提交”。

相关任务

• 修改CRL服务器配置：

  对于已配置的CRL服务器，在“CRL服务器对接配置”页面单击CRL服务器右侧的“修改”，可修改该CRL服务器的配置信息。

  

  修改已配置的CRL服务器，可能会导致NetEco与该CRL服务器之间的业务中断，影响证书吊销，请谨慎操作。

• 删除CRL服务器：

  对于已配置的CRL服务器，在“CRL服务器对接配置”页面单击CRL服务器配置右侧的“删除”，可删除该CRL服务器配置。

  

  删除已配置的CRL服务器，可能会导致NetEco与该CRL服务器之间的业务中断，影响证书吊销，请谨慎操作。

• 连通性测试：

  在“CRL服务器对接配置”页面单击CRL服务器对接配置右侧的“测试连通性”，可通过“状态”查看其连通性。