以前写过一篇用 CFSSL 签发根证书和叶子证书的水文 https://blog.laisky.com/p/cfssl/
有人问了关于签发 CRLs 的问题,正好查了些资料。
简而言之,CRLs 是一个证书列表,用来列举已经被吊销的证书。证书中有个属性叫做 CRL Distribution Points,用来指定对应 CRLs 的下载地址。
每个 CRLs 都有一个 scope,即定义它所管辖的证书。一般来说,CRLs 应该由某个 CA 来签发,这个 CA 称为它的 issuer,而这个 CRLs 的 scope 就是这个 issuer 所签发的其他证书。
但是,CRLs 的 scope 并不一定需要和其 issuer 相关,当 CRLs 的 scope 超出其 issuer 所签发的证书时,这个 CRLs 就称为 indirect CRLs。甚至于,indirect CRLs 其实可以没有 issuer,这种情况使得可以在不动用 CA 私钥的情况下生成 CRLs。但是,很多客户端默认情况下不一定支持 indirect CRLs,所以并不常见。
具体可见 https://www.rfc-editor.org/rfc/rfc5280#page-55
有人问了关于签发 CRLs 的问题,正好查了些资料。
简而言之,CRLs 是一个证书列表,用来列举已经被吊销的证书。证书中有个属性叫做 CRL Distribution Points,用来指定对应 CRLs 的下载地址。
每个 CRLs 都有一个 scope,即定义它所管辖的证书。一般来说,CRLs 应该由某个 CA 来签发,这个 CA 称为它的 issuer,而这个 CRLs 的 scope 就是这个 issuer 所签发的其他证书。
但是,CRLs 的 scope 并不一定需要和其 issuer 相关,当 CRLs 的 scope 超出其 issuer 所签发的证书时,这个 CRLs 就称为 indirect CRLs。甚至于,indirect CRLs 其实可以没有 issuer,这种情况使得可以在不动用 CA 私钥的情况下生成 CRLs。但是,很多客户端默认情况下不一定支持 indirect CRLs,所以并不常见。
具体可见 https://www.rfc-editor.org/rfc/rfc5280#page-55