2015-11-17 97 views
1

全部,證書吊銷列表和私人認證機構

我有幾個問題與證書吊銷列表與私人認證機構在玩。我們目前有一個自簽名的CA,可以生成用於訪問我們應用程序的客戶端證書。我們希望實施CRL,但是一些測試證書已經發布並正在使用中。我的問題是下面(我有困難牽制通過我自己的研究一個確切的答案)

  1. 如果我申請一個CRL和分發點,以我們的根CA現在,將已發行的客戶端證書自動看到這種變化並開始查看撤銷的分發點?
  2. 我可以使用https網站託管我的CDP,還是必須使用http?
  3. 當我創建將在IIS中承載Recovation文件的站點時 - 是否需要任何特定設置,以便客戶端證書檢查它可以更新並檢查撤銷列表?

非常感謝,

回答

0
  1. 根證書本身不應有CRL分發點擴展,這是因爲:
    • 根證書吊銷未在任何全球性的標準定義。
    • 許多證書鏈引擎不檢查根CA證書以進行吊銷。信任是通過帶外明確信任建立的。

相反,根CA應包括在已頒發的證書CRL分發點擴展。

  1. CDP位置必須僅使用HTTP。否則,您將遇到循環檢查(或雞蛋和雞肉問題):在訪問CDP之前,您需要檢查SSL證書的CRL。這將指向啓用SSL的CDP並重復故事。另外,CRL不存儲任何敏感信息,並且已經通過數字簽名防止篡改/改變。

  2. 沒什麼特別的,除了:必須允許匿名身份驗證(因爲許多證書鏈接引擎無法在網站上進行身份驗證)。