我是 ADCS 的新手,需要了解的内容很多。我设置了一个 2 层 PKI,并将离线根 CA 证书 (CRT) 和 CRL 文件放在指向 DNS 中 CNAME 的 Web 服务器上。当我为从根颁发的证书配置 CDP 和 AIA 扩展时,我硬编码了完整的 http URL,包括 CRL/CRT 文件名。例如http://cdp.mydomain.com/CertEnroll/myrootca.crl
现在我想知道这个选择有多糟糕。我没有使用任何替代变量。
根 CA 不会使用增量 CRL,因此我认为 CRL 文件名不会改变,每次更新时都可以用相同的文件名替换。这样对吗?至于 AIA 扩展,我没有检查是否将其包含在已颁发的证书中,因为我们不打算在非域机器上颁发或使用证书。我认为域机器无论如何都会在 AD 中找到根证书,或者通过组策略找到根证书。
如果事实证明这些硬 URL 路径存在问题,是否可以立即更新它们,并且下次我从根目录更新颁发 CA 的证书时,它将具有更新的动态 CDP?
答案1
您应该不会遇到问题。您的配置只是意味着您的 CRL 文件应该称为 myrootca.crl。只要它保持更新并保留其名称,客户端就可以成功检查它。
您不能更改已颁发证书的 CDP 扩展。但是,如果您更改 CDP 点的 URL,则从那一刻起,所有新证书都将使用新 URL 执行撤销检查。更改 CDP URL 后,您需要确保 CRL 也将发布到具有 myrootca.crl 名称的旧 URL,以便旧证书也可以执行撤销检查。
还要确保您的 CDP 列表不包含两个以上的 CDP 点,因为在这种情况下,撤销检查将因超时而失败。