数字证书管理服务提供CA证书的CRL(Certificate Revocation List)功能,您可以通过CRL查看已吊销的CA证书信息。本文介绍如何开启CRL服务以及如何查看、获取CRL。
CRL服务说明
通过上传CA证书及私钥的方式启用的CA不支持CRL服务。
注意事项
在使用CRL服务前,您需要注意:
CRL需要在CA创建过程中开启。如果您需要为历史创建的CA配置CRL,请联系商务经理进行咨询。
CA证书吊销,CRL将停止更新。
CA证书过期或删除,CRL将停止更新并且无法访问。
通过OpenAPI颁发的证书不包含CRL分发点扩展项。
开启CRL服务
开启CRL服务需要您在启用根CA或子CA时进行,操作步骤如下:
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA页签,定位到目标CA,在操作列,单击启用。
在CA信息面板,单击
图标,启用CRL。启用CA配置项详情信息,请参见启用私有CA。
查看CRL状态
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA页签,定位到目标CA,在操作列选择
> 详情。在详情面板,查看CRL状态。
获取最新CRL
您可以通过以下三种方式获取CA的最新CRL,如果CA不支持CRL或未开启CRL,将无法获取。
通过控制台获取
登录数字证书管理服务控制台。
在左侧导航栏,选择,在PCA证书管理页面,选择PCA服务所在地域。
在私有CA页签,定位到目标CA,在操作列选择
> 下载CRL。
通过终端证书内的CRL分发点获取
您可以直接通过访问证书主体中的CRL分发点(RFC 5280定义的“CRL Distribution Points" 扩展项)中的URL,获取该证书所属CA的最新CRL文件。
通过OpenAPI获取
调用DescribeCACertificate获取CA对应的CRL信息,并通过返回值中的Certificate.CrlUrl字段获取CRL访问链接。更多信息,请参见DescribeCACertificate。