自动 CRL 处理

与 CA 证书关联的证书吊销列表 (CRL) 通常在一周或一月的间隔内过期。将向用户提醒 CRL 过期问题,用户必须手动将新的 CRL 上载到 OneView 中。从 OneView 5.10 开始,可以将 HPE OneView 配置为自动下载 CRL。如果启用了自动 CRL 下载设置,设备上计划的自动 CRL 下载程序将检查设备中的所有可用 CRL 的有效性,并更新已过期或即将过期的 CRL。如果以前未下载新的 CRL,下载程序还会在该过程中下载这些 CRL。运行作业的计划时间设置为 UTC 中午 12 点。设备每天检查一次即将过期的 CRL。如果任何 CRL 将在 3 天内过期,设备将下载最新的可用 CRL。这可防止设备上的 CRL 过期。您可以通过 REST API /rest/certificates/validator-configuration 使用全局设置变量 global.daysBeforeToTriggerCRLDownload 配置计划以下载最新的可用 CRL。如果在 CRL 下载期间发生故障,设备将在引发警报之前重试三次该操作。

注意:

无论触发下载之前经过的天数如何,CRL 基础架构都可能会出现延迟。在 CA 上载新的 CRL 时,CA 无法提供该更新的通知。由于存在这种 CRL 基础架构延迟,在下次刷新后,才会获取新的吊销证书。这不是 HPE OneView 特定的问题,而是 CRL 生态系统的限制。

如果由于设备在计划日期停机等原因而错过了特定日期的计划运行,HPE OneView 将会在重新引导后启动 CRL 下载程序。

CA 证书的 CRL DP 信息仅在该 CA 签名的证书中提供。每次设备读取 CA 签名的证书时,设备将从 CA 签名的证书中提取该 CRL DP 信息。这可能包括以下情况:将 CA 签名的证书导入到设备中,或者在与管理的装置或外部服务器进行 TLS 通信期间遇到 CA 签名的证书。在设备获得 CA 证书的 CRL DP 信息后,将从 CRL DP URL 中异步下载 CRL,并将 CRL 与设备中的 CA 证书相关联。

只有在将对证书签名的 CA(中间或根)的 CRL 下载到设备后,才能执行 CA 签名证书的严格吊销检查。

您可以在设置 > 安全性 > 操作 > 编辑 > 证书页面中启用自动 CRL 下载选项,以将 HPE OneView 配置为自动下载证书的 CRL。

注意:

要下载任何证书链的所有 CRL,必须将完整的 CA 证书链(根 CA 和所有中间 CA)上载到设备中。

在以下情况下,HPE OneView 将下载 CRL:
  • 导入证书

    • 在导入证书链时,将在设备中保存 CA 证书链时下载 CRL。

    • 如果在设备中具有根 CA 时尝试导入不完整的证书链,将在设备中保存 CA 证书链时下载 CRL。是否下载 CRL 取决于根 CA 在设备中的可用性。

  • 首次通信

    首次建立从 HPE OneView 到具有 CA 签名证书的管理的装置或外部服务器的连接时,将检查在通信期间提供给 HPE OneView 的证书链以了解 CRL DP 信息以及 CRL 在设备中的可用性。在验证期间,如果在设备中找不到 CRL,则会计划下载相应的 CRL。
    注意:
    • 在与管理的装置进行首次通信期间,如果 CRL 不可用,则不会执行证书吊销检查。将在首次通信后异步下载 CRL,并在随后的通信期间执行吊销检查。

    • 设备中的任何证书的吊销检查取决于与该证书的颁发者 CA 对应的 CRL 的可用性以及您配置的吊销检查设置。

    • 在拥有外部 CA 签名证书的 RabbitMQ 客户端与设备通信时,请确保将与客户端证书的颁发者 CA 链关联的 CRL 手动添加到 HPE OneView 中。在与 RabbitMQ 客户端的这种通信期间,HPE OneView 不会自动下载 CRL。

  • 设备重新引导

    如果设备停机超过一天并重新引导,则某些 CRL 可能会在此期间过期。如果启用了自动 CRL 下载设置,将在设备重新引导后的 90 分钟内更新过期的 CRL。如果您启用了证书吊销检查选项,并且设备在该 90 分钟内与管理的装置或任何外部服务器进行通信,将暂时禁用证书吊销检查。对于具有过期 CRL 的 CA 证书,将在设备中暂时禁用吊销检查。对于具有有效 CRL 的 CA,将执行吊销检查。

    • 备份和恢复

      在创建设备备份并从备份中恢复设备时,某些 CRL 可能会在此期间过期。如果启用了自动 CRL 下载选项,将在恢复设备后的 90 分钟内更新过期的 CRL。如果您启用了证书吊销检查选项,并且设备在该 90 分钟内与管理的装置或任何外部服务器进行通信,将暂时禁用证书吊销检查。对于具有过期 CRL 的 CA 证书,将在设备中暂时禁用吊销检查。

      注意: 您可以通过 REST API /rest/global-settings 使用 retain-expired-crl-revocation-policy = true 全局设置变量保留设备中定义的严格吊销策略。如果在设备重新引导之前将 retain-expired-crl-revocation-policy 设置为 true,则会保留严格的吊销策略(如果用户以前启用了该策略),并在 90 分钟内执行吊销检查。
  • 设备升级

    如果设备升级到 HPE OneView 5.1 版,在重新引导并启用自动 CRL 下载选项后,将验证在以前发行版中手动上载的 CRL。如果 CRL 已过期或即将过期,则会在设备中下载最新的可用 CRL 并进行更新。

注意:
  • 您还可以从 CA 签名的任何证书中查找 CRL DP 信息,以手动将该 CA 的 CRL 上载到 HPE OneView 中。有关查找 CRL DP 和上载 CRL 的详细信息,请参阅《HPE OneView 用户指南》中的“查找 CRL 分发点”主题。如果未启用自动 CRL 下载设置,您也可以使用在设备外部运行的设备外部解决方案以使用脚本下载 CRL。有关详细信息,请访问 https://github.com/HewlettPackard/oneview-python-samples/tree/master/crl_helper。如果启用了自动 CRL 下载设置,请不要使用设备外部脚本。

  • 如果您使用 CA 颁发的证书并且 CA 位于外部(例如 DigiCert),您还需要使用代理设置。这些 CRL 是由 CA 托管的,可能需要使用代理设置才能访问这些 CRL。

通过代理服务器下载 CRL

对于具有 HTTP/HTTPS 协议的 CRL DP,HPE OneView 先尝试使用代理设置下载 CRL。如果连接失败,则尝试直接连接到 CRL DP。您可以在 HPE OneView 设备的设置 > 代理屏幕中配置 HTTP/HTTPS 代理设置。

对于具有 LDAP/LDAPS 协议的 CRL DP,首次尝试连接到 CRL DP 是通过直接连接完成的。如果失败,则尝试通过 socks 代理设置建立连接。对于 socks 代理服务器,默认情况下,将使用在设置 > 代理屏幕中配置的相同 HTTP/HTTPS 代理设置,并将端口属性设置为 1080。如果连接失败,您必须设置 HPE OneView 设备外部的 socks 代理服务器。在配置 socks 代理服务器后,请使用 REST API /rest/global-settings 设置以下全局变量。
  • socks-proxy-server(IP 地址或主机名)

  • socks-proxy-port

  • use-http-proxy-credentials

socks-proxy-serversocks-proxy-port 是您在创建 socks 代理服务器时使用的变量。必须将 use-http-proxy-credentials 属性设置为 true,才能使用与 HTTP/HTTPS 代理服务器相同的身份验证凭据(用户名和密码)。如果 socks 代理服务器(例如 socks V4 代理)不需要使用任何身份验证凭据,请将 use-http-proxy-credentials 全局变量设置为 false
注意:

您可以使用 REST API PATCH /rest/certificates/ca 从特定的 CRL DP 下载 CRL,并提供包含该 CRL DP 的证书。在使用该 API 之前,请确保在设备中具有该证书的颁发者 CA。