我有一个 Puppetserver,其 CRL 目前大小为 8.5 MB。使用openssl(1)和crl(1)我可以看到 CRL 包含约 180,000 个单独的撤销,但我还可以看到只有约 20,000 个唯一序列号;一些序列号已被撤销多达 500 次。
虽然显然有很多错误需要修复,但我还是要面对这个过大的 CRL,其中一个特别突出的错误是,对 CRL 的访问没有以任何方式锁定,因此在更新 CRL 的一个进程和读取 CRL 的另一个进程之间存在竞争条件。我只能希望将 CRL 的大小减小到仅包含每个序列号一次,这可能会最大限度地减少编写 CRL 所花费的时间和发生冲突的可能性。
是否可以编辑 CRL?
供参考,请参阅: