关于证书吊销列表(crl)的使用的一些疑问? 20C

1.etcd如何使用crl,或者说是否有验证crl的功能?
2.使用openssl生成的证书中加入了crlDistributionPoints字段,那么从吊销列表分发点获取crl这件事情是否需要依赖于具体应用程序的实现?
3.如果使用OCSP,向负责验证证书的服务端发送的东西应该包含哪些内容?

2个回答

emmm,,好多天都没人回答,,,自己这几天花费一番功夫搞明白了
1.etcd如何使用crl,或者说是否有验证crl的功能?
etcd3.3版本之前不支持任何对crl的验证,etcd3.3之后支持在服务端启动时使用选项--client-crl-file file嵌入本地crl文件来验证客户端证书,
同理使用--peer-crl-file验证同伴证书,
目前客户端不支持任何crl的验证
2.使用openssl生成的证书中加入了crlDistributionPoints字段,那么从吊销列表分发点获取crl这件事情是否需要依赖于具体应用程序的实现?
是的,例如目前很多浏览器已经弃用了crl的功能,采用ocsp的方式验证证书

目前etcd不支持ocsp!

中文意思:证书吊销列表
英文:Certificate Revocation List
出处:ITU/T X.509 | ISO/IEC 9594-8:2001,GB/T 16264.8-2005
定义:一个被签署的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。
解释:CRL一定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。
证书吊销
证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL),列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。
可将下列情况指定为吊销证书的理由:
泄露密钥
泄露 CA
从属关系改变
被取代
业务终止
证书持有(这是唯一让您能够改变被吊销证书状态的理由码,在证书状态有问题的情况下非常有用)
由 CA 吊销证书意味着,CA 在证书正常到期之前撤销其允许使用该密钥对的有关声明。在吊销的证书到期之后,CRL 中的有关条目被删除,以缩短 CRL 列表的大小。
在验证签名期间,应用程序可以检查 CRL,以确定给定证书和密钥对是否仍然可信(有些应用程序使用 CryptoAPI 中的 Microsoft 证书链验证 API 来完成此任务)。如果不可信,应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。如果该证书被用来验证签名,且签名的日期早于 CA 吊销该证书的日期,那么该签名仍被认为是有效的。
应用程序获得 CRL 之后,由客户机缓存 CRL ,在它到期之前客户机将一直使用它。如果 CA 发布了新的 CRL,拥有有效 CRL 的应用程序并 不 使用新的 CRL,直到应用程序拥有的 CRL 到期为止。

qq_22222663
黑化肥挥发会发灰 不要百度,好吧?!
一年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!