最近,我了解了 CRL,也知道了这是一种传统方式。
我尝试查看它是什么,fetch-crl从 ubuntu 包安装并运行,但结果却只有一个错误:
ERROR No trust anchor metadata for openssl in '/etc/grid-security/certificates/'
我可以在哪里查看 CRL?
答案1
首先,fetch-crl 工具不适用于网站使用的常规 WebPKI 证书,而是适用于科学计算集群使用的 IGTF Grid 证书。它们使用相同的类型X.509 证书,但与 WebPKI 是不同的“世界”,具有不同的 CA、不同的政策、不同的目标。(许多“网格”证书识别客户端,即人们,而不是服务器。
fetch-crl 工具要求您拥有IGTF 证书包安装在您的系统上,查找*.crl_url配置文件。但是,如果您只想查看 CRL,则可以手动下载它们;以下是几个 URL:
- http://ca.dutchgrid.nl/dcaroot/g1/crl/crl.crl
- http://crl4.digicert.com/TERENAeScienceSSLCA3.crl
- http://cafiles.cern.ch/cafiles/crl/CERN%20Root%20Certification%20Authority%202.crl
(其中很多将是空的。)
现在,对于网站使用的“常规” SSL 证书,没有单一的“获取所有 CRL”工具,但您仍然可以通过从网站的证书中获取其 URL 来下载单个 CRL。
例如,我访问了一个使用来自 Sectigo CA 的证书的网站,其证书详细信息中有一个“CRL 分发点”部分,其 URL 如下:
这个文件确实有一些“已撤销证书”条目,但它们相当无趣:只是序列号和相应的撤销日期的列表。您可以使用该openssl工具显示文件的内容:
$ openssl crl -in SectigoRSAOrganizationValidationSecureServerCA.crl -inform DER -noout -text
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
Last Update: Apr 20 22:50:13 2022 GMT
Next Update: Apr 27 22:50:13 2022 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:17:D9:D6:25:27:67:F9:31:C2:49:43:D9:30:36:44:8C:6C:A9:4F:EB
X509v3 CRL Number:
1321
Revoked Certificates:
Serial Number: D0C7B88A7392E71180B6D05FEDFED46D
Revocation Date: Jan 21 08:57:02 2020 GMT
Serial Number: DE6B552000A0C234809A63E979533926
Revocation Date: Jan 21 08:58:02 2020 GMT
Serial Number: C1C7CA37C6C07CE16B20DF2046593D2B
Revocation Date: Jan 22 21:00:47 2020 GMT
[...]
但实际上有些 WebPKI CA不不再具有 CRL。例如,让我们加密CA 依赖于 OCSP 和短证书有效期;superuser.com 使用的证书中没有 CRL URL。