我们正在优化我们的 QOS 路由器设置,并决定优先考虑我们的 PKI 基础设施。据我所知,在验证证书以及根据证书吊销列表 (CRL) 检查证书时会产生网络流量。可能还有一些我不知道的网络活动原因。
哪些端口与证书相关的网络活动相关?谢谢。
答案1
这取决于证书上的撤销数据配置为何。它可以改变。有些使用 HTTP/HTTPS(TCP/80 和 443),其他可以使用 LDAP(TCP/389 和 TCP/636 以确保安全)。还有一些可以使用文件路径,这可能需要 SMB 连接或其他方法。
换句话说,它使用基本网络协议,据我所知,它不使用特殊端口。正如我所说,CRL 位置已编码在证书本身上,几乎可以是任何位置。
答案2
TechNet 列出了Active Directory 证书服务所需的端口作为:
- 从 CA Web Services 到 464 上的域控制器以使用 Kerberos
- 从 CA Web 服务到 389 和 636 上的域控制器(用于 LDAP)
- 从所有 XP 客户端到证书颁发机构(随机高于 1023)进行 DCOM/RPC
- 从所有客户端到证书颁发机构 (443) 以进行 HTTPS
答案3
即时证书撤销用途在线证书状态协议。
但是,该协议的端口不是标准化的 - 它在 CA 证书中的 OCSP URL 中指定。