KompУ меня есть следующая проблема: у меня есть самозаверяющий CA (центр сертификации) в основном для использования persoanl (шифрование и подпись почты, ...). Я создал несколько сертификатов ceertificates и CRL (которые пока пусты) и опубликовал их все.
теперь у меня проблема, что я получаю сообщение от kleopatra (менеджер сертификатов X509 под linux), что CRL устарели и поэтому не используются. Далее я предполагаю, что все сертификаты с устаревшим CRL временно отклонено / отменено, пока обновленный CRL не может быть получен по HTTP (в моем случае).
теперь я хочу знать, как это возможно в профессиональном контексте. Чтобы создать новый CRL с помощью скрипта мне пришлось бы поставить незашифрованный (!) закрытый ключ моего корневого ЦС на рабочем сервере для создания списков отзыва сертификатов с помощью сценария cron. Я не могу поверить, что это необходимо для запуска профессионального CA, или это?
Как только любая проблема на этом сервере возникает целый корневого сертификата быть отягощенным. Это привело бы к конкурирующему перезагрузке всех сертификатов, и все приложения, установившие этот корневой сертификат, должны были бы быть изменены вручную. Для (доверенного) корневого сертификата не может быть самого CRL, поэтому мы не можем отозвать его в классическом смысле.
надеюсь, что вы можете объяснить мне вещи.
2500
