Sto creando il mio PKI personale e mi sono imbattuto in una domanda a cui non sono riuscito a trovare una risposta.
Voglio specificare CRLDistributionPoints nei miei certificati server, ma sono curioso di sapere se utilizzare lo stesso URL di quello che ho fatto per la CA o usarne uno separato per ogni certificato del server. Qual è la "migliore pratica" / ragionevole? Non capisco i CRL.
Si suppone che ogni certificato CA abbia uno e un solo CRL. È serializzato e firmato con quel certificato CA e ogni numero seriale successivo sostituisce quelli precedenti. Tuttavia, gli oggetti non dovrebbero mai essere rimossi da esso. Non credo sia definito un comportamento in cui una CA mantiene più CRL simultanei.
Detto questo, come CA, puoi (devi) mantenere un CRL separato per ogni certificato CA (subordinato o meno).
Il motivo per più crlDistributionPoints è quello di consentire di aumentare l'affidabilità dando più URL. Questo non è veramente necessario perché ci sono molti modi diversi per fornire affidabilità, ma può essere utile Sono sicuro che in alcuni scenari.
Leggi altre domande sui tag certificate-authority certificate-revocation