更新时间:2024-12-17 GMT+08:00
证书吊销列表管理
PCA服务中,对证书吊销列表(Certificate Revocation List, CRL)的管理有以下约束:
- 仅当创建私有CA时,启用了证书吊销列表配置,吊销证书后才会发布吊销列表。
当父CA未启用CRL时,被吊销的证书不会被写进吊销列表中,意味着校验证书时,证书仍可通过吊销验证,即存在安全隐患。有吊销证书需求的用户,请务必启用CRL配置。
- 当前只允许将CRL发布至用户授权的OBS桶中,不允许自定义其它地址。
- 启用CRL配置后,发布的CRL文件的访问策略与用户的OBS策略有关,用户可至对象存储服务(Object Storage Service,OBS),对已授权的OBS桶设置自定义访问策略。
- 证书一旦被吊销,将不可再恢复。
- 处于吊销状态的证书,将不被信任(被发布至CRL中)。
- 当证书被吊销后,PCA服务会在30分钟内将其写进CRL(当其父CA启用CRL时),并更新进OBS桶中。若发布CRL失败,会间隔15分钟后,再次尝试生成。
- 当发布新CRL的定时任务开启时,若私有CA已被删除或已过期、OBS桶被删除或授权被取消,定时任务将执行失败。
- 在CRL的有效期内,若私有CA未吊销过子证书,则只有过了有效期后(可能会延迟30分钟左右),才会生成新的CRL,有效期支持7~30天。
- 适合的吊销原因,可使证书吊销列表传达的吊销信息更准确。
PCA服务中默认的吊销原因为“UNSPECIFIED”,吊销原因可选值及其含义如表 吊销理由及含义所示。
表1 吊销原因及含义 吊销理由
对应RFC 5280标准中的吊销理由码
含义
UNSPECIFIED
0
吊销时未指定吊销原因,为默认值
KEY_COMPROMISE
1
证书密钥材料泄露
CERTIFICATE_AUTHORITY_COMPROMISE
2
签发路径上,存在CA密钥材料泄露
AFFILIATION_CHANGED
3
证书中的主体或其他信息已经被改变
SUPERSEDED
4
证书已被取代
CESSATION_OF_OPERATION
5
证书或签发路径中的实体已停止运营
CERTIFICATE_HOLD
6
证书当前不应被视为有效,将来可能会生效
PRIVILEGE_WITHDRAWN
9
证书不再有权声明其列出的属性
ATTRIBUTE_AUTHORITY_COMPROMISE
10
担保证书属性的机构可能已受到损害
PCA服务中关于吊销理由的命名与国际标准存在差异,您可以通过吊销理由码查询RFC 5280标准中对吊销理由的相关描述。
父主题: 私有CA管理最佳实践