|
|
知识路径: > 嵌入式系统的安全性知识 > 安全性基本概念 > 防治计算机病毒、防范计算机犯罪、防闯入、防灾等 > 安全威胁防范 > 数字证书 >
|
|
考试要求:了解
相关知识点:2个
|
|
|
|
|
从证书的格式上可以看到,每个证书都有一个有效期,然而有些证书还未到截止日期就会被发放该证书的CA吊销,这可能是由于用户的私钥已被泄漏,或者该用户不再由该CA来认证,或者CA为该用户签署证书的私钥已经泄漏。为此,每个CA还必须维护一个证书吊销列表(Certificate Revocation List,CRL),其中存放所有未到期而被提前吊销的证书,包括该CA发放给用户和发放给其他CA的证书。CRL还必须由该CA签字,然后存放于目录中以供他人查询。
|
|
|
|
CRL中的数据域包括发行者CA的名称、建立CRL的日期、计划公布下一CRL的日期以及每个被吊销的证书数据域。被吊销的证书数据域包括该证书的序列号和被吊销的日期。对一个CA来说,它发放的每个证书的序列号是唯一的,所以可用序列号来识别每个证书。
|
|
|
|
因此,每个用户收到他人消息中的证书时都必须通过目录检查这一证书是否已经被吊销,为避免搜索目录引起的延迟以及因此而增加的费用,用户自己也可维护一个有效证书和被吊销证书的局部缓存区。
|
|
|
