數字證書管理服務提供CA證書的CRL(Certificate Revocation List)功能,您可以通過CRL查看已吊銷的CA證書信息。本文介紹如何開啟CRL服務以及如何查看、獲取CRL。
CRL服務說明
通過上傳CA證書及私鑰的方式啟用的CA不支持CRL服務。
注意事項
在使用CRL服務前,您需要注意:
CRL需要在CA創建過程中開啟。如果您需要為歷史創建的CA配置CRL,請聯系產品技術專家進行咨詢,詳情請參見專家一對一服務。
CA證書吊銷,CRL將停止更新。
CA證書過期或刪除,CRL將停止更新并且無法訪問。
通過OpenAPI頒發的證書不包含CRL分發點擴展項。
開啟CRL服務
開啟CRL服務需要您在啟用根CA或子CA時進行,操作步驟如下:
登錄數字證書管理服務控制臺。
在左側導航欄,選擇,在PCA證書管理頁面,選擇PCA服務所在地域。
在私有CA頁簽,定位到目標CA,在操作列,單擊啟用。
在CA信息面板,單擊
圖標,啟用CRL。啟用CA配置項詳情信息,請參見啟用私有CA。
查看CRL狀態
登錄數字證書管理服務控制臺。
在左側導航欄,選擇,在PCA證書管理頁面,選擇PCA服務所在地域。
在私有CA頁簽,定位到目標CA,在操作列選擇
> 詳情。在詳情面板,查看CRL狀態。
獲取最新CRL
您可以通過以下三種方式獲取CA的最新CRL,如果CA不支持CRL或未開啟CRL,將無法獲取。
通過控制臺獲取
登錄數字證書管理服務控制臺。
在左側導航欄,選擇,在PCA證書管理頁面,選擇PCA服務所在地域。
在私有CA頁簽,定位到目標CA,在操作列選擇
> 下載CRL。
通過終端證書內的CRL分發點獲取
您可以直接通過訪問證書主體中的CRL分發點(RFC 5280定義的“CRL Distribution Points" 擴展項)中的URL,獲取該證書所屬CA的最新CRL文件。
通過OpenAPI獲取
調用DescribeCACertificate獲取CA對應的CRL信息,并通過返回值中的Certificate.CrlUrl字段獲取CRL訪問鏈接。更多信息,請參見DescribeCACertificate。