CRL Distribution Point

最新推荐文章于 2024-03-12 14:15:00 发布
最新推荐文章于 2024-03-12 14:15:00 发布
阅读量1.3k 收藏
点赞数
分类专栏: Encrypt and signature
本文详细介绍了CRL Distribution Point (CRLDP)作为X.509证书标准中的一项可选扩展,用于指示证书撤销列表(CRL)的位置,其中存储了证书撤销信息。CRLDP允许单个证书权威域内的撤销信息发布在多个CRL上,通过将撤销信息划分为更易于管理的部分,避免了大量CRL的泛滥,从而提供了性能优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://docs.oracle.com/cd/B14117_01/network.101/b10772/asogls.htm

CRL Distribution Point

(CRL DP) An optional extension specified by the X.509 version 3 certificate standard, which indicates the location of the Partitioned CRL where revocation information for a certificate is stored. Typically, the value in this extension is in the form of a URL. CRL DPs allow revocation information within a single certificate authority domain to be posted in multiple CRLs. CRL DPs subdivide revocation information into more manageable pieces to avoid proliferating voluminous CRLs, thereby providing performance benefits. For example, a CRL DP is specified in the certificate and can point to a file on a Web server from which that certificate's revocation information can be downloaded.

通过数字证书获取CRL吊销列表
M先生的博客
06-20 516
在一些对安全性要求比较严格的企业,需要在每次使用证书时,要求对证书的有效性进行验证,如何验证可查看我的其他博客。其中验证的吊销列表(CRL)是可以从数字证书中获取吊销列表文件的发布地址的。
Specify CRL Distribution Points
guolong1983811的专栏
12-21 764
Specify CRL Distribution Points http://technet.microsoft.com/en-us/library/cc753296.aspx Applies To: Windows Server 2008 R2, Windows Server 2012 You can add, remove, or modify certificate rev
SCCM 的 Branch distribution point 的使用
Frank的资料库
11-07 1782
实话实说,以前没用过 Branch Distribution point (BDP),看文档上介绍的很简单,所以实验都没做过。最近因为工作上用,果然出现一些文档中没有的问题,最终都fix了,记录在案。MS 相关文档http://technet.microsoft.com/en-us/library/bb632768.aspx   1. 创建 BDP很简单,但是发现创建以后一直工作不正常,pac
How to fetch CRLs from distribution points
guolong1983811的专栏
12-21 1421
http://support.microsoft.com/kb/289749 Q1: What is a Certificate Revocation List (CRL), and what is a CRL Distribution Point (CDP)? A1: A CRL is a file that contains a list of revoked certificates
Re: What if the CRL distribution points for a CA change?
guolong1983811的专栏
12-21 590
http://www.imc.org/ietf-pkix/old-archive-00/msg00323.html   Some clarification seems to be in order.... The idea of having multiple distribution points in a certificate seems very reasonable in o
联盟链系列 - 用Openssl管理CRL
搬砖魁首的博客
11-29 3833
CRL(Certificate revocation lists) CRL是证书吊销列表, 用于验证数字证书有效性. 数据证书在有效期内是无法强制撤销的, 只能通过将它们添加到适当的CRL中来撤销它们。 可往CRL中添加中间或根证书,也可增加特指的某个X509证书 修改中间CA的配置文件 指定用于展示CRl的PEM文件的网址 [ server_cert ] # ... snipped ... crlDistributionPoints = URI:http://example.com/intermediat
基于Go+MySQL实现简单的CA认证系统【100012592】
06-05
证书吊销:用户发起证书吊销请求后,系统会为其更新 Certificate Revocation List (CRL),但考虑系统负荷,用户的吊销请求会被暂时记录,然后以天为单位更新,客户端可以通过 CRL Distribution PointCRL 分发点...
基于Java和Python实现简单的CA认证系统.zip
06-13
证书吊销:用户发起证书吊销请求后,系统会为其更新 Certificate Revocation List (CRL),但考虑系统负荷,用户的吊销请求会被暂时记录,然后以天为单位更新,客户端可以通过 CRL Distribution PointCRL 分发点...
课程设计基于go语言实现CA系统源码+项目说明+展示截图+sql数据库.zip
09-27
* 证书吊销:用户发起证书吊销请求后,系统会为其更新 Certificate Revocation List (CRL),但考虑系统负荷,用户的吊销请求会被暂时记录,然后以天为单位更新,客户端可以通过 CRL Distribution PointCRL 分发...
服务器密钥和证书 #1 主题 wap.fakakuai.com 指纹 SHA256: d8592ba74d397fe570149d8e20feb9ce9e94bc63a955448eba6de303af5af0b9 密码 SHA256: cvx++r7e70/noqsMt7SS/3jWV6Rk9ScYFExuJzOlTDc= 常用名 wap.fakakuai.com 替代名称 wap.fakakuai.com 序列号 05acd58e0741dc0829e63f5e943f540e7eea 有效期自 2025年6月18日星期三 00:51:43 UTC 有效期至 2025 年 9 月 16 日星期二 00:51:42 UTC(2 个月零 9 天后过期) 钥匙 RSA 2048 位(e 65537) 弱密钥(Debian) 不 发行人 R10 在这里:http://r10.i.lencr.org/ 签名算法 SHA256与RSA 扩展验证 不 证书透明度 是(证书) OCSP 必须装订 不 吊销信息 CRL CRL:http://r10.c.lencr.org/107.crl 撤销状态 验证错误CRL 错误:发生 IOException DNS CAA 否(更多信息) 值得信赖 是 Mozilla Apple Android Java Windows
最新发布
07-08
在验证证书时,系统可能会尝试从证书中指定的CRL分发点(CRL Distribution Point, CDP)下载CRL文件,以验证该证书是否有效(未被吊销)。 2. **CRL验证错误**:用户遇到了“CRL错误:发生IOException”。这通常...
eSIM证书要求-涉及规范SGP.22-SGP.26-2
liudong200618的博客
05-10 2422
证书链中所有证书的subjectPublicKeyInfo中的OID都是一样的。
密码学专题 openssl的基本概念
CHYabc123456hh的博客
11-15 2931
配置文件 配置文件是OpenSSL的一个基础结构组件,OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf,它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外,OpenSSL还提供了其他一些部分的配置文件,用于专门配置证书请求或者X.509v3证书的扩展项。 OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说,每个字段的开始使用[Section_Name]来标识,直到下一个字段开始或者到达文
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 4014
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
CRL和OSCP、LDAP
lingdukafeibj的博客
04-27 3609
签名验签服务器规范明确写出签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OSCP连接配置。看完后一头雾水,首先需要了解什么是CRL 1、证书吊销列表(Certificate Revocation List,简称:CRL) 是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,
证书吊销列表CRL的使用
果果他爹的学习笔记
07-15 4746
吊销证书命令:openssl ca -revoke xxx.pem生成吊销证书列表:openssl ca -gencrl -out  xxx.crl 1)apache 中的使用设置/usr/local/etc/apache22/Include/http-ssl.confSSLCARevocationFile "..../xxx.crl" 这样当持有作废的客户端证书访问的
MPLS的TDP与LDP的区别
Howie66的博客
08-17 3641
1996年,Ipsilon公司推出了IP Switching协议,在数据通讯界立即引起具大震动。 Ipsilon公司由一个默默无闻的小公司,一举成为数据通讯界众所周知的公司,并由此引发了路由器技术的一次大革命,各公司纷纷推出自己的三层交换方案,而其中对MPLS协议发展具有关键作用的有如下一些协议: 1)  IP Switching。由Ipsilon于1996年提出,并推出支持该协议的商业产品,该
数字证书的相关专业名词(中)---根证书和CRL,以及java中CRL的获取和验证方法
qq_44005305的博客
03-12 1693
上篇文章我们主要了解了PKI中的数字证书和PKCS,这篇文章我们主要了解一下根证书,以及OCSP和CRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
什么是证书吊销列表(CRL)? 吊销列表起什么作用 ?
weixin_33720956的博客
01-23 1208
答:证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个...
CRL源码
03-21
### 关于CRL的相关源码 CRL(Certificate Revocation List,证书吊销列表)是PKI体系中的重要组成部分之一,用于维护已被吊销的证书列表。以下是关于CRL实现代码的一些说明: #### OpenSSL 中 CRL 的实现 OpenSSL 提供了完整的 API 和工具来处理 CRL。其核心功能位于 `crypto/x509v3` 和 `crypto/revoked.h` 文件中[^1]。这些文件定义了如何加载、解析和验证 CRL。 - **CRL 加载与解析** 使用 OpenSSL 可以通过函数 `X509_CRL_read_bio()` 或 `X509_CRL_http_nbio()` 来读取并解析 CRL 数据[^3]。 - **CRL 验证逻辑** 在 OpenSSL 源码中,CRL 的验证过程主要集中在 `x509_vfy.c` 文件内的 `internal_verify` 方法中。此方法会检查 CRL 是否有效以及目标证书是否被列入吊销列表。 - **多 CRL 处理规则** 当存在多个 CRL 时,需注意以下几点: - 如果有多个相同 issuer 的 CRL,则仅最新的那个会被采纳。 - 若 CRL 的 issuer 和 last update time 完全一致,则优先采用链中最前面的一个 CRL。 #### 获取 CRL 源码的方法 如果希望研究或修改 CRL 的具体实现,可以从 OpenSSL 的官方仓库下载完整源码。通常情况下,GitHub 上托管着最新版本的 OpenSSL 源码库。可以通过以下命令克隆仓库: ```bash git clone https://github.com/openssl/openssl.git cd openssl ``` 在获取到源码后,重点查看以下几个文件夹及其内部的关键文件: - `crypto/x509`: 包含 X.509 证书的核心操作。 - `crypto/x509v3`: 扩展属性支持,包括 CRL 功能。 - `apps/crl2p7.c`: 展示了一个简单的程序例子,演示如何使用 CRL。 #### 自己编写简单 CRL 实现的例子 下面提供一段简化版的 CRL 解析代码作为参考: ```c #include <stdio.h> #include <stdlib.h> #include <openssl/x509.h> #include <openssl/x509_vfy.h> int main() { BIO *in = NULL; X509_CRL *crl = NULL; in = BIO_new_file("example_crl.pem", "r"); if (!in) { fprintf(stderr, "Error opening file\n"); exit(EXIT_FAILURE); } crl = PEM_read_bio_X509_CRL(in, NULL, NULL, NULL); if (!crl) { fprintf(stderr, "Error reading CRL\n"); goto end; } printf("CRL loaded successfully.\n"); end: if (in != NULL) BIO_free_all(in); if (crl != NULL) X509_CRL_free(crl); return EXIT_SUCCESS; } ``` 上述代码展示了如何从 `.pem` 文件中加载一个 CRL 并打印成功消息。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值