数字证书管理服务提供CA证书的CRL(Certificate Revocation List)功能,您可以通过CRL查看已吊销的CA证书信息。本文介绍如何开启CRL服务以及如何查看、获取CRL。

CRL服务说明

通过上传CA证书及私钥的方式启用的CA不支持CRL服务。

注意事项

在使用CRL服务前,您需要注意:

  • CRL需要在CA创建过程中开启。如果您需要为历史创建的CA配置CRL,请联系产品技术专家进行咨询,详情请参见专家一对一服务

  • CA证书吊销,CRL将停止更新。

  • CA证书过期或删除,CRL将停止更新并且无法访问。

  • 通过OpenAPI颁发的证书不包含CRL分发点扩展项。

开启CRL服务

开启CRL服务需要您在启用根CA或子CA时进行,操作步骤如下:

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA页签,定位到目标CA,在操作列,单击启用

  4. CA信息面板,单击启用图标,启用CRL。

    启用CA配置项详情信息,请参见启用私有CA

查看CRL状态

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA页签,定位到目标CA,在操作列选择image > 详情

  4. 详情面板,查看CRL状态。

获取最新CRL

您可以通过以下三种方式获取CA的最新CRL,如果CA不支持CRL或未开启CRL,将无法获取。

通过控制台获取

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > PCA证书管理,在PCA证书管理页面,选择PCA服务所在地域。

  3. 私有CA页签,定位到目标CA,在操作列选择image > 下载CRL

通过终端证书内的CRL分发点获取

您可以直接通过访问证书主体中的CRL分发点(RFC 5280定义的“CRL Distribution Points" 扩展项)中的URL,获取该证书所属CA的最新CRL文件。

通过OpenAPI获取

调用DescribeCACertificate获取CA对应的CRL信息,并通过返回值中的Certificate.CrlUrl字段获取CRL访问链接。更多信息,请参见DescribeCACertificate