证书吊销列表(CRL)介绍

一、证书吊销列表(CRL)

证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个证书颁发机构在设置其证书颁发系统时设置。如下图所示:

证书吊销列表分发点 (CRL Distribution Point ,简称 CDP) 是含在数字证书中的一个可以共各种应用软件自动下载的最新的 CRL 的位置信息。一个 CDP 通常出现在数字证书的 详细信息 选项卡的 CRL 分发点 域,一般会列出多个使用不同的访问方法,以确保如 Web 浏览器和 Web 服务器程序始终可以获取最新的 CRL 。 CDP 一般是一个可以访问 http 网址, 如下图所示:

二、证书吊销列表(CRL)与证书状态在线查询协议(OCSP)

讲到吊销列表,就不得不讲讲 OCSP , Online Certificate Status Protocol, 证书状态在线查询协议, 是 IETF 颁布的用于实时查询数字证书在某一时间是否有效的标准。

上面已经提到,一般 CA 都只是 每隔一定时间 ( 几天或几个月 ) 才发布新的吊销列表,可以看出: CRL 是 不能及时反映证书的实际状态的。而 OCSP 就能满足实时在线查询证书状态的要求。它为电子商务网站提供了一种实时检验数字证书有效性的途径,比下载和处理 CRL 的传统方式更快、更方便和更具独立性。请求者发送查询请求, OCSP 服务器会返回证书可能的三个状态:正常、吊销和未知。

OCSP 服务由独立的 OCSP 服务器来提供服务,目前WoSign新证书颁发系统支持 OCSP 方式查询证书状态。 OCSP 也是一个可以访问的 http 网站,如下图所示:

三、证书吊销列表(CRL)的作用

那么,证书吊销列表起什么作用?为了演示,我们在测试站点上部署了一张吊销了的SSL证书,https://revoked-demo.wosign.com 。上面已经提到是供有关软件查询证书是否被吊销,还是让我们来看看浏览器是如何查询吊销列表的。 浏览器在使用 https:// 访问已经部署了 SSL 证书的网站时,一定会先检查此 SSL 证书是否已经被吊销,也就是说会查询吊销列表或 OCSP 服务, 如果此证书已经被证书颁发机构吊销,则会显示警告信息: “此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。 ”

值得注意的是: 目前有些 CA 颁发的证书和大部分自签SSL证书都没有提供吊销列表 (CRL) 服务或证书 吊销列表分发点是不可访问的 ,当然更别提 OSCP 服务,这是非常危险的,因为如果证书丢失或被盗而无法吊销的话,就极有可能被用于非法用途而让用户蒙受损失。

时间: 2024-10-09 10:27:36

证书吊销列表(CRL)介绍的相关文章

openssl生成证书及吊销列表

一,先来讲讲基本概念. 证书分类: 按类型可以分为CA证书和用户用户证书,我们我说的root也是特殊的CA证书. 用户证书又可以根据用途分类,放在服务器端的称为服务器证书,放在客户端一般称为客户端证书(这种说法不是很准确,只是一种理解.实际应该是在对客户端认证时才会用到客户端证书且root.ca证书都可以放在客户端),记住,这两种证书都应为用户证书. 一般可以理解为证书由key和证书(没有key的文件也称为证书)组成,谁拥有这两个东西才真正拥有这个证书.好比锁是有钥匙和锁头组成的,你得两都有.你

证书吊销

根CA证书吊销主要浏览器更新,大多数根CA没有设置CRL字段(除了startcom),也没必要,所以这些CA一般不会吊销自己 中级CA证书.单向认证HTTPS服务器证书吊销在中级CA.服务器证书中设置:CRL分发点.授权信息访问.证书策略比如:CNNIC在2015年3月22日 15:33:54吊销了MCSHOLDING TEST中级CA证书 双向认证HTTPS客户端证书吊销双向认证的HTTPS网站一般应用于企业内部的关键业务,一般也是由CA签发CRL,通过服务器设置相应的程序或者配置文件检测来实

OpenVPN学习笔记——证书吊销及其他事项

公司如果有一些其他需求,比如员工离职或者其他需求,可能需要对原来签发的客户端证书进行吊销,以免出现信息泄露等安全问题. 如果config目录下有多个客户端配置,在OpenVPN GUI客户端右键就会有多个用户配置,可以根据需要使用任一客户端证书连接VPN Server. 这是OpenVPN GUI for Windows客户端安装目录下的config目录中的客户端配置文件,每个文件都以用户名作为名字,以便区分.下面以jack为例,显示如何对jack用户的客户端证书进行吊销. [[email pr

mac中如何创建文件列表清单介绍详情

相信很多苹果电脑用户们一定都在困惑mac系统到底如何创建列表清单呢?其实方法还是比较简单的,想了解吗?有兴趣不妨来mac中如何创建文件列表清单介绍中仔细瞧瞧哦,相信它可以给你使用mac系统带来有效的帮助哦,还是先来mac中如何创建文件列表清单介绍中看看再说吧.mac中如何创建文件列表清单介绍: 1. 打开Finder定位到要生成文件清单的文件夹,将文件按照想要的方式排序,例如:创建时间 2. 直接全选(Command+A)所有文件,然后复制(Command+C)它们. 3. 接下来打开文本编辑器

mac中如何创建文件列表清单介绍

相信很多苹果电脑用户们一定都在困惑mac系统到底如何创建列表清单呢?其实方法还是比较简单的,想了解吗?有兴趣不妨来mac中如何创建文件列表清单介绍中仔细瞧瞧哦,相信它可以给你使用mac系统带来有效的帮助哦,还是先来mac中如何创建文件列表清单介绍中看看再说吧.mac中如何创建文件列表清单介绍: 1. 打开Finder定位到要生成文件清单的文件夹,将文件按照想要的方式排序,例如:创建时间 2. 直接全选(Command+A)所有文件,然后复制(Command+C)它们. 3. 接下来打开文本编辑器

iOS开发个人开发账号的证书详细使用及介绍

iOS开发个人开发账号的证书详细使用及介绍 1.如果想真机测试(xcode7除外)和上架产品,就必须使用到电脑,其实真机测试证书和打包上架证书就是告诉苹果,我在用那台电脑真机测试的,我在用那台电脑上架产品. 2.真机测试还是需要三个的配置文件: 真机配置文件:就是告诉苹果我要用那台电脑,再那个手机上测试那个APp 打包配置文件:就是告诉苹果我要用那台电脑,打包那个APP后,在那个手机上运行 上架配置文件:就是告诉苹果我在用那台电脑,上架哪一个APP 生成的推送的证书在下面,用到的朋友们可以看看,

html的有序列表和无序列表简单介绍

html的有序列表和无序列表简单介绍: 本章节将会简单一下有序列表和无序列表的一些简单用法,希望能够给需要的朋友带来一定的帮助. 一.有序列表: 使用<ol>标签就可以定义一个有序列表,之所以称其为有序列表,就是因为可以使列表具有排序功能. 利用<ol>的type属性就可以实现有序排序功能. type属性值: 1表示以 1,2,3,4 来表示. a 表示以 a,b,c,d 来表示. A 表示以 A,B,C,D 来表示. i 表示以 i,ii ,iii 来表示. I 表示以 I,II

openvpn证书吊销

声明变量source ./vars使用revoke-full命令吊销客户端证书./revoke-full client-name(common name)命令执行后,我们能在keys目录中找到一个文件,crl.pem,这个文件中包含了吊销证书的名单,然后在服务端配置文件中,加入下面一行:crl-verify crl.pem重新启动openvpn/etc/init.d/openvpn openvpn restart

Centos7下Apache详细安装配置及证书申请SSL配置介绍

首先说到Centos大家都已经非常熟悉了,所以我们也就不多介绍关于Centos具体发展了,我们首先知道在Centos7之前版本命令和ReadHat的命令完全一样的,可Centos从6.0版本升级到Centos7版本之后,命令及功能上有了很大的变化,最明显的差别就是从安装的操作界面及操作命令上已经有很大变化了,更不用说功能上的变化了,比如centos6.x版本的iptalbes到centos7的firewall的变化,当然,变化了很多,我也就不多说了,今天呢,主要给大家介绍一下再Centos7下A