如果我实现了具有多级CA的PKI,是否需要为每个单独的CA拥有一个CRL,或者我可以只为整个层次结构拥有一个CRL(即将所有证书指向单个CRL),还是只有less数上层的层次?
每个CA都需要发布自己的CRL。
从技术angular度来看,组合多个CRL是不可能的,因为每个CRL需要由生成它的CA进行encryption签名,因此它是1-CA-1-CRL关系。