我是新的ADCS,有很多要了解。 我build立了一个2层的PKI,并且在离线的根CA证书(CRT)和CRL文件放在一个指向DNS中的CNAME的Web服务器上。 当我为从根发布的证书configurationCDP和AIA扩展时,我对完整的http URL(包括CRL / CRT文件名)进行了硬编码。 例如http://cdp.mydomain.com/CertEnroll/myrootca.crl
现在我想知道这是多么糟糕的select。 我没有使用任何替代variables。
根CA不会使用增量CRL,所以我认为CRL文件名不会改变,每次更新时可以用相同的文件名replace。 它是否正确? 至于友邦保险扩展,我没有检查将其包括在已发行的证书中,因为我们不打算发行或使用非域名证书。 我想域计算机会在AD中find根证书,或者通过组策略。
如果事实certificate这些硬URLpath是一个问题,是否有可能现在更新它们,下一次我从根目录更新颁发CA的证书时,它将具有更新后的dynamicCDP?
你不应该有问题。 你的configuration只是说你的CRL文件应该叫做myrootca.crl。 只要它保持更新并保持它的名字,客户端可以成功地检查它。
您不能更改已颁发证书的CDP扩展名。 但是,如果您要更改CDP点的URL,那么所有来自该时刻的新证书将使用新的URL执行吊销检查。 在更改CDP URL之后,您需要确保CRL也将以myrootca.crl名称发布到旧URL,以便旧证书也可以执行吊销检查。
另外请确保您的CDP清单不是包含两个以上的CDP点,因为在这种情况下,撤销检查将由于超时而失效。