验证CA证书和本地证书 | 您所在的位置:网站首页 › 华为ap云管理软件 › 验证CA证书和本地证书 |
CRL方式 如果CA支持作为CRL发布点CDP(CRL Distribution Point),则当CA颁发证书时,在证书中会包含CDP信息,用以描述获取该证书CRL的途径和方式。PKI实体利用CDP中指定的机制(HTTP方式)和地址来下载CRL。 如果PKI实体配置了CDP的URL地址,该地址将覆盖证书中携带的CDP信息,PKI实体使用配置的URL来获取CRL。如果CA不支持作为CDP,则PKI实体可以使用SCEP方式下载CRL。 当PKI实体验证本地证书时,先查找本地内存的CRL,如果本地内存没有CRL,则需下载CRL并安装到本地内存中,如果对端实体的本地证书在CRL中,表示此证书已被撤销。 OCSP方式 在IPSec场景中,PKI实体间使用证书方式进行IPSec协商时,可以通过OCSP方式实时检查对端实体的证书状态。 OCSP克服了CRL的主要缺陷:PKI实体必须经常下载CRL以确保列表的更新。当PKI实体访问OCSP服务器时,会发送一个对于证书状态信息的请求。OCSP服务器会回复一个“有效”、“过期”或“未知”的响应。 有效表示证书没有被撤销。 过期表示证书已被撤销。 未知表示OCSP服务器不能判断请求的证书状态。 None方式 如果PKI实体没有可用的CRL和OCSP服务器,或者不需要检查PKI实体的本地证书状态,可以采用None方式,即不检查证书是否被撤销。 |
CopyRight 2018-2019 实验室设备网 版权所有 |