我正在尝试为 Microsoft CA 建议一个 CRL 发布期,用户证书将用于数字签名。在某些情况下,用户证书可能会被撤销。
通常要定义什么时间段,以便我可以检查该时间段。
目前他们已将发布 s-ca 的下一个 crl 的时间设置为一个月
答案1
您是如何构建 CA 的,单个 CA 还是多个 CA?您需要多快撤销证书?您如何使用证书?
如果您正在使用证书进行 AD 身份验证,则在发生严重紧急情况时,如果您认为该帐户的证书已被泄露,则可以暂时禁用该帐户。
如果您拥有一个独立的离线 CA,它只向下属 CA 颁发证书,那么该离线 CA 的发布周期很可能非常长。您需要更长的时间,这样您就不必费力启动离线服务器频繁发布 CRL。您可以选择更长的周期。
如果您指的是在线且主动颁发证书的 CA,我会选择更短的期限。您不希望有效期短于完整复制 AD 所需的时间,也不希望有效期短于硬件发生故障时重建/恢复 CA 所需的时间。
这实际上很大程度上取决于您的具体要求。如果您可以自动发布 CRL,并且您的 CA 是可靠的,那么较短的期限将使撤销证书被使用的可能性大大降低。
如果您还没有读过,请参阅这些 Microsoft 文章。