配置CRL发布服务器
前提条件
已具备查看吊销列表,新增、修改、删除、查看CRL发布服务器,导入CRL的权限。
背景信息
CA服务支持将CRL通过手动方式或者自动发布的方式将CA对应的CRL发布到CRL服务器。
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 在“CRL发布服务器”页签中单击“新增”,配置各项参数。
参数说明请参见表1。
表1 CRL发布服务器参数说明表 参数
说明
取值建议
名称
CRL发布服务器的名称。
请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
缺省值:无
建议值:无
协议
CRL发布服务器的类型。支持LDAP、FTP、SFTP类型服务器,且每种服务器分别最多添加5个。
须知:鉴于LDAP协议比FTP协议有更多安全保证,建议选择LDAP协议。
缺省值:LDAP
建议值:LDAP
地址
CRL发布服务器的地址。
LDAP和FTP协议类型的CRL发布服务器地址应为合法的IP地址。
SFTP协议类型的CRL发布服务器地址应为合法的IP地址或域名地址。
缺省值:无
建议值:无
使用TLS
通过TLS协议将CRL发布到LDAP服务器或者FTP服务器。- 如果选择“是”,用户可以在“CRL发布服务器”页签中导入信任证书链对应的CRL,用来校验对端服务器证书是否已经吊销。
- 如果选择“否”,在“CRL发布服务器”页签中不能进行导入CRL的操作。
须知:不使用TLS协议存在安全风险。
缺省值:是
建议值:是
端口
服务器端口号。
端口只能为1~65535的整数。
选择LDAP协议且不使用TLS协议时,端口号缺省值为389。选择LDAP协议且使用TLS协议时,端口号缺省值为636。选择FTP协议时,端口号缺省值为21。选择SFTP协议时,端口号缺省值为22。
缺省值:636
建议值:636
须知:鉴于LDAP协议比FTP协议有更多安全保证,建议选择LDAP协议。
登录名
登录CRL发布服务器的用户名。
登录名长度必须为1~128个字符,且不能包含特殊字符(/\:*?"<>|)。
缺省值:无
建议值:无
登录口令
登录CRL发布服务器的密码。
建议密码长度为8~64个字符,至少包含数字、大小写字母、特殊字符(!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~允许输入上述特殊字符,其他字符不允许输入)中的其中3种,并且密码不能与登录名或登录名的倒写一样。
缺省值:无
建议值:无
发布目录
发布CRL到关联服务器的目录。用户可使用系统生成的文件路径名或区别名等参数,和CA服务的CRL服务器进行对接。
- FTP服务器的发布目录为用户自定义的路径名称,例如a/b。创建CRL发布服务器成功后,系统生成的文件路径名为:FTP服务根目录/发布目录/该服务器关联的CA名称/CRL文件名称,其中,CRL文件名称为CA名称,扩展名为".crl",例如,/home/ftpuser/a/b/caname/caname.crl。
- LDAP服务器的发布目录为LDAP路径名称,例如,CN=common name, O=organization, OU=organization unit。创建CRL发布服务器后,系统生成的区别名为:CN=该服务器关联的CA名称,发布目录,例如,CN=caname, CN=common name, O=organization, OU=organization unit。
- SFTP服务器的发布目录为用户自定义的路径名称,例如a/b。创建CRL发布服务器成功后,系统生成的文件路径名为:SFTP服务根目录/发布目录/该服务器关联的CA名称/CRL文件名称,其中,CRL文件名称为CA名称,扩展名为".crl",例如,/home/sftpuser/a/b/caname/caname.crl。
- 发布目录长度必须为1~256个字符。
- 选择LDAP协议时,发布目录不能包含特殊字符(/\:*?"<>|)。
- 选择FTP协议或SFTP协议时,发布目录不能包含特殊字符(*?"<>.|)。
缺省值:无
建议值:无
信任证书链
上传本地证书链文件。如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
须知:当RSA密钥长度为1024,或者当前上传的信任证书使用了SHA1withRSA算法时,存在一定的安全风险。RSA(2048位以下)和ECDSA(224位以下)为不安全的密钥算法,RSA(2048位)为中等强度密钥算法,为了确保系统通信安全,请使用RSA(3072位及以上)或ECDSA(256位及以上)密钥算法生成证书的私钥。
- 上传的证书文件必须是.pem、.cer或.crt格式。
- 上传的证书必须是一个完整的证书链,最多只能上传10个文件,且单个文件大小小于100KB。总文件大小小于100KB。
- 证书文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。
缺省值:无
建议值:无
- 完成配置后,单击“提交”。
相关任务
- 查看CRL发布服务器:
在页面,选择“CRL发布服务器”页签,单击CRL发布服务器的名称,可查看该CRL发布服务器的详细信息。
- 如果网管已存在且已配置好FTP/SFTP/LDAP服务器信息,CA服务的CRL服务器可集成网管FTP/SFTP/LDAP服务器信息,CRL服务器名称为“BUILDIN_CRL_SERVER”,且最多只有1个。
- 在页面,选择“CRL发布服务器”页签,可以查看“BUILDIN_CRL_SERVER”的详细信息。CA服务不支持修改和删除“BUILDIN_CRL_SERVER”。
- 创建CA时,可选择“BUILDIN_CRL_SERVER(Local)”,CA服务将该CA对应的CRL文件发布给网管。
- 在页面,选择“CRL发布服务器”页签,新增CRL发布服务器时,LDAP、FTP、SFTP服务器分别最多添加5个(且服务器类型为本地除外)。
- 修改CRL发布服务器:
- 删除CRL发布服务器:
在页面,选择“CRL发布服务器”页签,单击CRL发布服务器右侧的“删除”,在弹出的“警告”框中确认信息后,单击“确定”。可删除该CRL发布服务器。
- 导入CRL:
在页面,选择“CRL发布服务器”页签,单击CRL发布服务器右侧的“导入CRL”,可上传信任证书链的CRL来校验对端服务器证书是否吊销。
上传的CRL文件必须是.crl或.pem格式,且文件大小小于2MB。
- 更新CRL:
- 手动发布CRL:
- 自动发布CRL:
- 查找CRL:
在页面,选择“CRL列表”页签,在搜索框中输入要查找的CA名称,单击
,查看指定CA对应的CRL信息。CA服务支持按照CA名称模糊查询。 - 下载CRL:
