证书吊销列表(Certificate Revocation List,CRL)

最新推荐文章于 2024-03-17 09:32:00 发布
最新推荐文章于 2024-03-17 09:32:00 发布
阅读量4.4k 收藏 5
点赞数 2
分类专栏: 网络通讯与秘钥 文章标签: 证书吊销列表 CRL CA 吊销证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/D_C_Hao/article/details/103989534
版权

证书吊销列表(Certificate Revocation List,CRL)一个被签署的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。

CRL一定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。

证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL),列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。

可将下列情况指定为吊销证书的理由:

泄露密钥

泄露 CA

从属关系改变

被取代

业务终止

由 CA 吊销证书意味着,CA 在证书正常到期之前撤销其允许使用该密钥对的有关声明。在吊销的证书到期之后,CRL 中的有关条目被删除,以缩短 CRL 列表的大小。

在验证签名期间,应用程序可以检查 CRL,以确定给定证书和密钥对是否仍然可信(有些应用程序使用 CryptoAPI 中的 Microsoft 证书链验证 API 来完成此任务)。如果不可信,应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。如果该证书被用来验证签名,且签名的日期早于 CA 吊销该证书的日期,那么该签名仍被认为是有效的。

应用程序获得 CRL 之后,由客户机缓存 CRL ,在它到期之前客户机将一直使用它。如果 CA 发布了新的 CRL,拥有有效 CRL 的应用程序并 不 使用新的 CRL,直到应用程序拥有的 CRL 到期为止。

渡安x
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
证书吊销列表CRL解析工具(Java)
09-04
证书吊销列表CRL解析工具(Java)
何为证书吊销列表CRL?
bytxl的专栏
01-28 3532
http://blog.163.com/liu_sheng_han/blog/static/190591372201202710340212/ 证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL),列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书吊销的理由。它还可
证书吊销列表(CRL)简单介绍与相关openssl C api功能测试
TappaT的博客
05-13 1869
在近期的工作项目中涉及到了证书吊销列表(CRL)相关的一些知识,打算记录一下自己写的一个通过CRL验证自签名证书有效性的测试程序,并分享遇到的一些坑。
crlset-tools: 实时监控证书吊销列表的便捷工具
最新发布
gitblog_00041的博客
03-17 349
crlset-tools: 实时监控证书吊销列表的便捷工具 项目简介 crlset-tools 是一个用于实时监控证书吊销列表CRL)的实用工具集。它可以帮助系统管理员、安全工程师和其他技术人员在管理认证授权系统时,更轻松地获取和分析 CRL 数据。 通过使用 crlset-tools,您可以: 监控一组证书颁发机构 (CA) 的吊销列表 收集 CRL 数据并将其存储为本地文件或数据库 检查给...
SSL证书吊销列表CRL)是什么?
SSL加密技术
07-28 2394
SSL证书吊销列表,顾名思义,证书吊销是一个将无效证书和不可信证书与有效可信证书区分开的过程。基本上,这是CA(或CRL颁发者)知道一种或多种数字证书由于某种原因或其他原因不再值得信赖的一种方法。当他们吊销证书(此过程有时称为PKI证书吊销)时,他们实际上会在证书的到期日期之前使该证书无效。 因此,如果CA需要为您的网站撤消证书,它会使Google Chrome浏览器向您的网站访问者显示一条警告消息: (图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除) CA机构会在什么情况下会撤销SSL证
x509证书规范
03-01
This specification is one part of a family of standards for the X.509 Public Key Infrastructure (PKI) for the Internet. This specification profiles the format and semantics of certificates and certificate revocation lists (CRLs) for the Internet PKI. Procedures are described for processing of certification paths in the Internet environment. Finally, ASN.1 modules are provided in the appendices for all data structures defined or referenced.
OpenSSL证书
奋斗中的魔鬼筋肉人
08-27 219
CA证书 (结构)PKI: 签证机构:CA 注册机构:RA 证书吊销列表CRL 证书存取库 (内容) X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期 主体名称 主体公钥 CRL分发点 扩展信息 发行者签名 获取证书两种方法: 使用证书授权机构 生成签名请求(csr) 将csr发送给CACA出接收...
openssl证书撤销列表(Certificate Revocation List,简称CRL)详解
N阶二进制的博客
12-11 2074
证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。
CRL介绍
好习惯成就伟大
11-17 4916
证书撤销列表(Certificate Revocation List,简称CRL),是一种包含撤销的证书列表的签名数据结构。CRL证书撤销状态的公布形式,CRL就像信用卡的黑名单,用于公布某些数字证书不再有效。 CRL是一种离线的证书状态信息。它以一定的周期进行更新。CRL可以分为完全CRL和增量CRL。在完全CRL中包含了所有的被撤销证书信息,增量CRL由一系列的CRL来表明被撤销的证书信息,它每次发布的CRL是对前面发布CRL的增量扩充。 基本的CRL信息有:被撤销证书序列号、撤销时间、撤销原因、
Go-加密学(七) - 证书吊销列表CRL
xiangjai的专栏
06-16 1512
一、证书吊销列表CRL) 二、证书吊销列表CRL)与证书状态在线查询协议(OCSP) 三、证书吊销列表CRL)的作用
Threshold Certificate-based Encryption
02-20
Certificate-based encryption (CBE) is a new<br>asymmetric encryption paradigm which combines<br>traditional public-key encryption (PKE) and identity based<br>encryption (IBE) while preserving some of their most<br>attractive features. CBE provides an efficient implicit<br>certificate mechanism to eliminate third-party queries for<br>the certificate status and to simply the certificate revocation<br>problem. Therefore, CBE can be used to construct an<br>efficient PKI requiring few
x509证书吊销相关调研
01-08
背景 在做一个区块链项目时,区块链底层平台采用PBFT共识,没有配置块的概念,fabric有配置块约定链的权限。当删除一个节点时由于证书还没有吊销,被删除节点还可以自己启动加入区块链网络,这里实现证书吊销十分有必要。 x509证书吊销 什么是证书吊销 证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1
revocation-endpoints:CRL和OCSP端点列表
05-26
吊销端点 主机列表可阻止已知的CRL服务器和OCSP响应程序。 博客文章: :
An_End-to-End_Measurement_of_Certificate_Revocation_in_the_Web's_PKI.pdf
08-07
一篇发表在IMC'15会议上的论文An End-to-End Measurement of Certificate Revocation in the Web's PKI。这篇文章主要研究了PKI体系中证书吊销的相关问题 Abstract & Introduction 这篇文章主要研究了PKI体系中证书吊销的相关问题,主要包括以下3点: 服务器对证书吊销和替换; CA提供CRL和OCSP的情况; 不同平台中不同浏览器对吊销证书的处理方法。
Win10系统导出证书私钥及公钥
热门推荐
渡安H的博客
02-19 1万+
一、打开Internet选项,如图示 打开方式一:通过控制面板打开 打开方式二:通过IE浏览器打开 打开方式三:通过360浏览器打开 二、在Internet选项中选择“内容”页签,点击“证书”, 然后在“个人”页签中,选中要导出的证书,点击“导出” 三、点击导出后,会弹出“证书导出向导”页面,点击“下一步”,开始导出证书 四、选择“是,导出私钥”,点击“下一步”,导出私钥 4.1 如下如所示,勾选“个人信息交换”,点击“下一步” 4.2 如下如所示,勾选...
浏览器如何导出证书
渡安H的博客
05-25 8112
选择IE浏览器上的工具-->Internet选项-->内容-->证书,从个人列表中找出对应的证书,选择导出,如图。 点击导出后出现下图,点击下一步。 出现如下图示。(步骤三) 导出私钥 选择“是,导出私钥”,点击下一步,如图。 选择“个人信息交换 – PKCS #12(PFX) (P)”,点击下一步,如图。备注:如下三个选项均不勾选。 设定私钥密码,点击下一...
数字信封的介绍2.0:定义,优点,原理
渡安H的博客
04-03 5694
1.什么是数字信封? 数字信封是将对称密钥通过非对称加密(即:有公钥和私钥两个)的结果分发对称密钥的方法。 PKCS#7中数字信封包含被加密的内容和被加密的用于加密该内容的密钥。 通常使用接收方的公钥来加密“加密密钥”,也可以使用发送方和接收方预共享的对称密钥来加密。当接收方收到数字信封时,先用私钥或预共享密钥解密,得到“加密密钥”,再用该密钥解密密文,获得原文。数字信封技术使用两层加密体系...
Win10系统导入证书私钥
渡安H的博客
02-20 4544
一、Win10系统导入证书私钥 二、直接点击“下一步”即可 三、输入私钥密码,“导入选项”按下图所示选择,点击“下一步” 四、默认选择“自动选择证书存储”,点击“下一步” 五、点击“完成”,弹出“导入成功”窗户,则私钥导入完成 ...
证书crl days是什么意思
07-22
证书的 `CRL (Certificate Revocation List) Days` 是证书撤销列表的有效期限。CRL 是一种包含已撤销证书序列号的列表用于标识不再可信的证书。当证书的私钥泄漏、证书持有者身份不再有效或证书颁发机构发现证书存在问题时,可以将证书列入 CRLCRL Days 表示 CRL 的有效期限,即 CRL 在发布后多久内仍然有效。在这个时间段内,CRL 可以被客户端使用来检查证书的有效性,并确定是否需要撤销或拒绝该证书。 当客户端收到一个证书时,它可以检查 CRL 来验证该证书是否仍然有效。如果证书CRL 中被列为已撤销,客户端将不信任该证书。 通常,CRL Days 的值是由证书颁发机构设置的,以平衡证书撤销的及时性和 CRL 数据的更新频率。较短的 CRL Days 可以更快地撤销不再有效的证书,但也会增加 CRL 的生成和传输负担。较长的 CRL Days 可以减少 CRL 的生成和传输频率,但也可能意味着撤销的证书CRL 中保持有效状态更久。 因此,CRL Days 的设置对于确保证书链的安全和有效性非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值