更新时间:2024-12-17 GMT+08:00

证书吊销列表管理

PCA服务中,对证书吊销列表(Certificate Revocation List, CRL)的管理有以下约束:

  • 仅当创建私有CA时,启用了证书吊销列表配置,吊销证书后才会发布吊销列表。

    当父CA未启用CRL时,被吊销的证书不会被写进吊销列表中,意味着校验证书时,证书仍可通过吊销验证,即存在安全隐患。有吊销证书需求的用户,请务必启用CRL配置。

  • 当前只允许将CRL发布至用户授权的OBS桶中,不允许自定义其它地址。
  • 启用CRL配置后,发布的CRL文件的访问策略与用户的OBS策略有关,用户可至对象存储服务(Object Storage Service,OBS),对已授权的OBS桶设置自定义访问策略。
  • 证书一旦被吊销,将不可再恢复。
  • 处于吊销状态的证书,将不被信任(被发布至CRL中)。
  • 当证书被吊销后,PCA服务会在30分钟内将其写进CRL(当其父CA启用CRL时),并更新进OBS桶中。若发布CRL失败,会间隔15分钟后,再次尝试生成。
  • 当发布新CRL的定时任务开启时,若私有CA已被删除或已过期、OBS桶被删除或授权被取消,定时任务将执行失败。
  • 在CRL的有效期内,若私有CA未吊销过子证书,则只有过了有效期后(可能会延迟30分钟左右),才会生成新的CRL,有效期支持7~30天。
  • 适合的吊销原因,可使证书吊销列表传达的吊销信息更准确。

    PCA服务中默认的吊销原因为“UNSPECIFIED”,吊销原因可选值及其含义如表 吊销理由及含义所示。

    表1 吊销原因及含义

    吊销理由

    对应RFC 5280标准中的吊销理由码

    含义

    UNSPECIFIED

    0

    吊销时未指定吊销原因,为默认值

    KEY_COMPROMISE

    1

    证书密钥材料泄露

    CERTIFICATE_AUTHORITY_COMPROMISE

    2

    签发路径上,存在CA密钥材料泄露

    AFFILIATION_CHANGED

    3

    证书中的主体或其他信息已经被改变

    SUPERSEDED

    4

    证书已被取代

    CESSATION_OF_OPERATION

    5

    证书或签发路径中的实体已停止运营

    CERTIFICATE_HOLD

    6

    证书当前不应被视为有效,将来可能会生效

    PRIVILEGE_WITHDRAWN

    9

    证书不再有权声明其列出的属性

    ATTRIBUTE_AUTHORITY_COMPROMISE

    10

    担保证书属性的机构可能已受到损害

    PCA服务中关于吊销理由的命名与国际标准存在差异,您可以通过吊销理由码查询RFC 5280标准中对吊销理由的相关描述。