查找 CRL 分发点

证书吊销列表分发点 (CRL DP) 是一个 URL,它托管一个可下载的 CRL 文件,其中包含 CA 吊销的证书列表。CRL 是由 CA 发布的,并由 CA 定期刷新以保持最新状态。以下类型的证书包含签名 CA 的 CRL DP 信息:
  • 中间 CA 证书

  • CA 签名的叶级证书

注意:

位于证书中的 CRL DP 信息供 CA 签名证书在下载 CRL 时使用。

根 CA 证书不包含任何吊销信息。

要将 CA 的 CRL 上载到 HPE OneView 中,请从 CRL DP URL 中找到该 CA 签名的任何证书中的 DP 信息。下载 CRL,编辑 CA 证书,然后上载 CA 的CRL。如果尚未启用“自动 CRL 下载”选项,请执行该过程。下面提供了一个示例:

示例

  1. 要查找预捆绑的 DigiCert 全局根 G2 CA 证书的 CRL DP,请在该 CA 颁发的证书中查找 CRL 分发点属性。在这种情况下,请查看由 DigiCert 全局根 G2 CA 证书颁发的 DigiCert 全局 CA G2 证书。CRL DP 设置为 http://crl3.digicert.com/DigiCertGlobalRootG2.crl

  2. http://crl3.digicert.com/DigiCertGlobalRootG2.crl 下载 CRL。

  3. 使用设置 > 安全性 > 管理证书屏幕中的编辑选项,针对 DigiCert 全局根 G2 CA 根 CA 上载 CRL 文件。

从 HPE OneView 5.2 和更高版本开始,设备可以定期从 CRL DP 中自动下载和更新 CRL。默认情况下,将禁用该选项。在设置 > 安全性 > 操作 > 编辑 > 证书屏幕中,选中自动 CRL 下载复选框以启用自动 CRL 下载。要将 CA 的 CRL 上载到 HPE OneView 中,请在设置 > 安全性 > 管理证书屏幕中查找该 CA,然后从该 CA 中查找 CRL DP 信息。下载 CRL,编辑 CA 证书,然后上载 CA 的CRL。下面提供了一个示例:

示例

  1. 要查找预捆绑的 DigiCert 全局根 G2 CA 证书的 CRL DP,请在设置 > 安全性 > 管理证书屏幕中查找 DigiCert 全局根 G2 CA 证书。

  2. 查看证书详细信息并查找 CRL 分发点

  3. http://crl3.digicert.com/DigiCertGlobalRootG2.crl 下载 CRL。

  4. 使用编辑选项针对 DigiCert 全局根 G2 CA 上载 CRL 文件。