如果我实施具有多级 CA 的 PKI,是否需要为每个单独的 CA 提供一个 CRL,或者我是否可以为整个层次结构提供一个 CRL(即将所有证书指向单个 CRL),或者只为层次结构的上层提供几个 CRL?
答案1
每个 CA 都需要发布自己的 CRL。
从技术角度来看无法组合多个 CRL 的原因是每个 CRL 都需要由生成它的 CA 进行加密签名,因此它们是 1-CA 对 1-CRL 的关系。
如果我实施具有多级 CA 的 PKI,是否需要为每个单独的 CA 提供一个 CRL,或者我是否可以为整个层次结构提供一个 CRL(即将所有证书指向单个 CRL),或者只为层次结构的上层提供几个 CRL?
每个 CA 都需要发布自己的 CRL。
从技术角度来看无法组合多个 CRL 的原因是每个 CRL 都需要由生成它的 CA 进行加密签名,因此它们是 1-CA 对 1-CRL 的关系。