我有以下问题:我有一个自签名 CA(证书颁发机构),主要用于个人使用(邮件加密和签名,...)。我创建了几个证书和 CRL(目前为空)并将它们全部发布。
现在我遇到了一个问题,我从(Linux 下的 X509 证书管理器)收到消息kleopatra,说 CRL 已过期,因此未使用。此外,我猜想所有带有过期 CRL 的证书都会被暂时拒绝/撤销,直到可以通过 HTTP 获取更新的 CRL(就我而言)。
现在我想知道在专业环境中如何做到这一点。要使用脚本创建新的 CRL,我必须将我的根 CA 的未加密私钥 (!) 放到生产服务器上,以使用 cron 脚本生成 CRL。我无法相信这对于运行专业 CA 是必要的,还是真的?
一旦此服务器出现任何问题,整个根证书都会受到损害。这将导致所有证书的完全重置,并且必须手动更改已安装此根证书的所有应用程序。对于(受信任的)根证书,它本身不能有 CRL,因此我们无法以传统意义上的方式撤销它。
希望你能向我解释这些事情。
答案1
CRL 不是按需创建的,而是定期创建的,并且通常在签署证书的同一(希望是安全的)基础设施内创建。创建并签署 CRL 后,它会传播到可公开访问的服务器,然后用户可以访问它。因此,无需将 CA 的私钥放在公共服务器上。