数字证书管理服务提供CA证书的CRL(Certificate Revocation List)功能,您可以通过CRL查看已吊销的CA证书信息。本文介绍如何开启CRL服务以及如何查看、获取CRL。

使用限制

  • CRL仅支持签发终端证书的子CA,其他CA(包括根CA,子CA的CA)暂不支持CRL。
  • 通过上传CA证书及私钥的方式启用的CA不支持CRL服务。

注意事项

在使用CRL服务前,您需要注意:
  • CRL需要在CA创建过程中开启。如果您需要为历史创建的CA配置CRL,请联系产品技术专家进行咨询,详情请参见专家一对一服务
  • CA吊销,CRL将停止更新。
  • CA过期或删除,CRL将停止更新并且无法访问。
  • 通过OpenAPI颁发的证书不包含CRL分发点扩展项。

开启CRL服务

开启CRL服务需要您在启用子CA时进行,操作步骤如下:

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面私有CA页签下,定位到目标子CA,单击操作列的启用
  4. CA信息面板,单击启用图标,启用CRL。
    更多启用子CA配置项信息,请参见启用私有CA启用CRL

查看CRL状态

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面的私有CA页签,选择子CA,单击操作列的详情详情
  4. 详情面板,查看CRL状态。

获取最新CRL

您可以通过以下三种方式获取CA的最新CRL,如果CA不支持CRL或未开启CRL,将无法获取。

通过控制台获取

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击私有证书
  3. 私有证书页面私有CA页签,选择子CA,单击操作列的下载CRL

通过终端证书内的CRL分发点获取

您可以直接通过访问证书主体中的CRL分发点(RFC 5280定义的“CRL Distribution Points" 扩展项)中的URL,获取该证书所属CA的最新CRL文件。

通过OpenAPI获取

调用DescribeCACertificate获取CA对应的CRL信息,并通过返回值中的Certificate.CrlUrl字段获取CRL访问链接。更多信息,请参见DescribeCACertificate