CRL Distribution Point

Certificate Revocation List

Хүчингүй болгосон гэрчилгээнүүдийн жагсаалт. Гэрчилгээ шалгах системүүд CRL-ийг тогтмол татаж шинэчилнэ.

CRL файл татах

DER форматтай CRL файлууд

Root CRL татах Issuing CRL татах

Шинэчлэлтийн хуваарь

CRL автоматаар шинэчлэгдэнэ

Root CRL

Root CA-ийн хүчингүй болгосон гэрчилгээнүүд

Шинэчлэлт: 7 хоног тутам
Endpoint: crl.gesign.mn/root.crl
Content-Type: application/pkix-crl
Cache: max-age=86400

Issuing CRL

Issuing CA-ийн хүчингүй болгосон гэрчилгээнүүд

Шинэчлэлт: 24 цаг тутам
Endpoint: crl.gesign.mn/issuing.crl
Content-Type: application/pkix-crl
Cache: max-age=14400

Хөгжүүлэгчдэд

CRL шалгах жишээ

# CRL татах
curl -O https://crl.gesign.mn/issuing.crl

# CRL агуулга харах
openssl crl -inform DER -in issuing.crl -noout -text

# Гэрчилгээг CRL-тэй шалгах
openssl verify -crl_check -CRLfile issuing.crl -CAfile chain.pem cert.pem

Стандарт

RFC 5280 — Internet X.509 PKI Certificate and CRL Profile
DER (Distinguished Encoding Rules) формат
X509v3 CRL Number extension
Authority Key Identifier extension