數位憑證管理服務提供CA認證的CRL(Certificate Revocation List)功能,您可以通過CRL查看已吊銷的CA認證資訊。本文介紹如何開啟CRL服務以及如何查看、擷取CRL。
CRL服務說明
通過上傳CA認證及私密金鑰的方式啟用的CA不支援CRL服務。
注意事項
在使用CRL服務前,您需要注意:
CRL需要在CA建立過程中開啟。如果您需要為歷史建立的CA配置CRL,請聯絡商務經理進行諮詢。
CA憑證撤銷,CRL將停止更新。
CA認證到期或刪除,CRL將停止更新並且無法訪問。
通過OpenAPI頒發的認證不包含CRL發佈點擴充項。
開啟CRL服務
開啟CRL服務需要您在啟用根CA或子CA時進行,操作步驟如下:
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA認證管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標CA,在操作列,單擊啟用。
在CA資訊面板,單擊
表徵圖,啟用CRL。啟用CA配置項詳情資訊,請參見啟用私人CA。
查看CRL狀態
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA認證管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標CA,在操作列選擇
> 詳情。在詳情面板,查看CRL狀態。
擷取最新CRL
您可以通過以下三種方式擷取CA的最新CRL,如果CA不支援CRL或未開啟CRL,將無法擷取。
通過控制台擷取
登入數位憑證管理服務控制台。
在左側導覽列,選擇,在PCA認證管理頁面,選擇PCA服務所在地區。
在私有CA頁簽,定位到目標CA,在操作列選擇
> 下載CRL。
通過終端認證內的CRL發佈點擷取
您可以直接通過訪問認證主體中的CRL發佈點(RFC 5280定義的“CRL Distribution Points" 擴充項)中的URL,擷取該認證所屬CA的最新CRL檔案。
通過OpenAPI擷取
調用DescribeCACertificate擷取CA對應的CRL資訊,並通過傳回值中的Certificate.CrlUrl欄位擷取CRL訪問連結。更多資訊,請參見DescribeCACertificate。