CRL全称为Certificate Revocation List,中文名称为证书吊销列表。CRL里存储了被注销证书的序列号、注销时间和注销原因,同时,为保证CRL的有效性,CRL携带了CA的签名。
CRL管理列举CRL列表,CRL按照签名算法不同,分为RSA CRL和SM2 CRL。通过CRL管理可实现手动签发CRL、下载CRL、查看和查找功能。
配置CRL
1.使用管理员账号登录数字证书认证系统。
2.在左侧导航栏选择“CRL管理 > CRL配置”,进入“CRL配置”页面。
3.填写CRL配置相关参数。
| 参数 | 参数说明 |
|---|---|
| 自动启动 | 选择是,则立刻和每次服务启动时开启CRL定时发布任务; 选择否,停止CRL定时发布任务。 |
| 类型 | 选择签发CRL的类型 - 全量:签发全量CRL - 增量:签发增量CRL - 全量&增量:两者都签发 |
| 生成周期 | 定时生成CRL的周期,以小时为单位,默认为1小时 |
4.单击“提交”完成CRL配置。
CRL相关操作
生成CRL:在“CRL列表”页单击“生成”按钮即可生成CRL。当前CA可以实现完全CRL和增量CRL,根据系统设置的CRL生成策略,如果只选择完全CRL,每次生成的CRL都会覆盖前一同类型CRL,因此列表里只有一个RSA算法CRL和一个SM2算法CRL;增量CRL会生成每年产生的证书注销列表,同一个年的会覆盖。
下载CRL:选择需要下载的CRL,单击“操作”列的“下载”按钮,即可下载CRL。
