在迁移内部 CA 的过程中,我们首先启动并运行旧服务器,以便允许客户端从已颁发证书中硬编码的 URL 下载 CRL。与此同时,旧服务器已被完全删除,只有一个小型虚拟网络主机处于活动状态,其唯一目的是将 CRL 传递给客户端。
我希望当所有旧证书都被替换后(大约一年后),这种构造将变得不再必要。但是,加快这个过程会更好,例如,通过在适当的情况下提前颁发新证书。为此,我想找出答案:当我看到(从网络日志中)客户端检索 CRL 时,我可以得出结论,客户端想要验证某个(旧)证书的有效性。但我如何才能找到答案(不是在 CA,而是在客户端) 哪个客户端想要验证的证书?
答案1
你不知道。你在正确规划迁移过程之前就停用了旧 CA,这是一个错误。你要做的是,从停用的 CA 数据库中导出活动证书列表。如果你没有旧 CA 备份,那么你就没那么幸运了。等到某些服务出现故障。
编辑:2015 年 7 月 24 日
如果您的 CA 数据库已迁移且可访问,则您需要查找在 CDP URL 修改日期之前颁发的未过期证书。