證書吊銷列表
證書撤銷列表
出處:ITU/T x . 509 | ISO/IEC 9594-8:2001,GB/T 16264.8-2005。
定義:壹個簽名列表,指定證書頒發者認為無效的壹組證書。除了普通的CRL之外,還定義了壹些特殊的CRL類型來覆蓋特殊字段中的CRL。
解釋:CRL必須由CA簽名。您可以使用與頒發證書相同的私鑰,也可以使用特殊的CRL來頒發私鑰。CRL包含被吊銷證書的序列號。
證書吊銷
證書有指定的生存期,但是CA可以通過壹個稱為證書吊銷的過程來縮短該生存期。CA發布證書吊銷列表(CRL ),該列表列出了被認為不再可用的證書的序列號。CRL指定的生存期通常比證書指定的生存期短得多。CA還可以在CRL中添加證書吊銷的原因。它還可以添加被認為適用於此狀態更改的開始日期。
您可以將下列情況指定為吊銷證書的原因:
泄露密鑰
泄漏CA
從屬關系變更
代替
業務終止
證書持有(這是允許您更改已吊銷證書的狀態的唯壹原因代碼,這在證書狀態出現問題時非常有用)
CA撤銷證書意味著CA撤銷其聲明,即在證書正常過期之前允許使用密鑰對。被吊銷的證書過期後,CRL中的相關條目將被刪除,以縮短CRL列表的大小。
在簽名驗證期間,應用程序可以檢查CRL,以確定給定的證書和密鑰對是否仍然可信(壹些應用程序使用CryptoAPI中的Microsoft證書鏈驗證API來完成此任務)。如果不可信,應用程序可以判斷撤銷的原因或日期是否對所述證書的使用有影響。如果證書用於驗證簽名,並且簽名日期早於CA吊銷證書的日期,則簽名仍被視為有效。
在應用程序獲得CRL之後,客戶端緩存CRL,並且客戶端將使用它直到它過期。如果CA發布了新的CRL,則具有有效CRL的應用程序將不會使用新的CRL,直到該應用程序擁有的CRL過期。
參考答案:/view/950459.htm