CDP(CRL Distribution Point, 憑證撤銷清單發佈點)
。用途: 提供用戶端系統下載憑證撤銷清單(CRL)的位址, 讓系統能夠確認憑證是否已被撤銷
。設定內容: 通常是一個 HTTP、LDAP或本機檔案路徑, 指向 CRL所在位置
。重要性: 若無法正確存取 CDP位置, 憑證驗證程序可能失敗, 導致應用程式無法信任該憑證
AIA(Authority Information Access, 憑證授權資訊存取)
。用途: 提供用戶端系統下載 CA憑證的位址, 用於建立憑證鏈, 以驗證受發行憑證的合法性
。設定內容: 多為 HTTP或 LDAP位置, 指向 CA的發行憑證
。重要性: 若 AIA設定錯誤, 用戶端無法取得 CA憑證, 將無法完成憑證信任鏈的建構
w-studio.idv.tw
企業CA與獨立CA設定 CDP與 AIA的差異:
。企業CA
--CDP設定: 通常設定為 HTTP或 LDAP路徑, 可發佈在內部網站或 AD中
--AIA設定: 設定為 HTTP或 LDAP路徑, 指向 CA憑證存放位置
。獨立CA
--CDP設定: 常設定為 HTTP或檔案路徑, 若是離線 Root CA可先手動發佈
--AIA設定: 常設定為 HTTP路徑, 離線 Root CA需手動提供 CA憑證
注意事項
。對離線 Root CA: 不建議設定 LDAP路徑, 應以 HTTP或檔案路徑為主, 並在發行 CRL或憑證後手動上傳到對應路徑
。對企業內部CA: 可直接使用 AD整合(LDAP路徑)與內部網站(HTTP路徑), 記得開啟適當的權限讓用戶端能存取這些路徑
沒有留言:
張貼留言