问题描述
因此,RFC5280 and its figure 1和更高版本的RFC中,我们可以读到有可能将CRL发行委派给其他证书:CRL发行者。
但是我对CRL发行者和图1有一些疑问。
- CRL颁发者必须由其委托的CA签名吗?
例如,存在以下链:
Root CA -> Intermed.1 CA -> Interm.2 CA -> End-entity
我想委托Intermed.1 CA的CRL发行。 CRL颁发者可以由根CA签名还是只能由Intermed.1 CA签名?
-
CRL颁发者可以是多个CA的委托吗?换句话说,CRL颁发者将用于由根CA => Intermed.1a CA,Intermed.1b CA,Intermed.1c CA
颁发的每个CA -
同一CRL发行者可以用于不同级别的链吗? CRL颁发者将用作Intermed.1 CA和Intermed.2 CA的代表。
非常感谢您。
解决方法
CRL颁发者必须由其委托的CA签名吗?
不,不是。 CA可以将CRL签名委派给任何受信任的机构。必要条件:客户端必须在本地缓存中具有CRL签名者证书才能验证CRL签名。并且该签名人必须受到客户的信任。此要求是必需的,因为客户端无法利用Authority Information Access扩展来检索所需的证书。
CRL发行者可以是多个CA的代表吗?换句话说,CRL颁发者将用于由根CA => Intermed.1a CA,Intermed.1b CA,Intermed.1c CA
颁发的每个CA
对不起,我不明白这个问题。如果您询问链中的所有CA是否都可以使用委托的CRL颁发者,那么答案是肯定的。
同一CRL发行者可以用于不同级别的链吗? CRL颁发者将用作Intermed.1 CA和Intermed.2 CA的代表。
是的。同一委托实体可以是多个不同CA的CRL颁发者。每个CA都可以将CRL签名委派给多个CRL颁发者。