Каким должен быть период публикации CRL для корпоративных сред?
Я пытаюсь предложить период публикации CRL для Microsoft CA, пользовательские сертификаты будут использоваться для цифровой подписи. Могут быть случаи, когда пользовательский сертификат может быть отозван.
Обычно какой период определить, чтобы я мог проверить этот период.
В настоящее время они установили месяц для публикации следующего crl для s-ca
1 ответ
Как вы структурировали свои CA, один CA или несколько CA? Как быстро вам нужно отозвать сертификаты? Как вы используете сертификаты?
Если вы используете сертификат для аутентификации AD, в случае серьезной чрезвычайной ситуации вы можете временно отключить учетную запись, если вы считаете, что сертификат для этой учетной записи был скомпрометирован.
Если у вас есть автономный автономный ЦС, который выдает сертификаты только подчиненному ЦС, то период публикации этого автономного ЦС, скорее всего, может быть довольно продолжительным. Вам нужно больше времени, поэтому вам не нужно загружать автономный сервер, чтобы часто публиковать CRL. Вы можете выбрать более длительный период.
Если вы говорите о CA, который находится в сети и активно выдает сертификаты, я бы выбрал более короткий период. Вы не хотите, чтобы период действия был короче, чем требуется для полной репликации вашей AD, и вы не хотите быть короче, чем время, необходимое для перестройки / восстановления вашего CA в случае сбоя оборудования.
Это действительно зависит от ваших требований. Если вы можете автоматизировать публикацию списка отзыва сертификатов, и ваши центры сертификации надежны, то более короткий период значительно снизит вероятность использования отозванного сертификата.
Если вы еще не читали их, ознакомьтесь с этими статьями Microsoft.