Certificate 在Cisco VPN网关上配置多个已检查的证书分发点
我有一个体系结构,其中有一个根CA和多个子CA。每个子CA为其“域”中的设备发布证书。每个域中都有一个VPN网关(Cisco路由器)。我想确定是否有可能设计一种配置,其中每个域的VPN网关将能够检查连接设备的证书是否已在其域的子CA或另一个域的子CA处被吊销。我也在寻找最有效的解决方案,在添加新域时需要尽可能少的配置Certificate 在Cisco VPN网关上配置多个已检查的证书分发点,certificate,vpn,cisco,pki,ca,Certificate,Vpn,Cisco,Pki,Ca,我有一个体系结构,其中有一个根CA和多个子CA。每个子CA为其“域”中的设备发布证书。每个域中都有一个VPN网关(Cisco路由器)。我想确定是否有可能设计一种配置,其中每个域的VPN网关将能够检查连接设备的证书是否已在其域的子CA或另一个域的子CA处被吊销。我也在寻找最有效的解决方案,在添加新域时需要尽可能少的配置 谢谢 CRL或OCSP响应在列表中包含已吊销证书的序列号,该序列号由颁发CA或OCSP响应者签名。这可确保当我在我的CA上吊销序列号为123456789的证书时,由您的CA颁发的序
谢谢 CRL或OCSP响应在列表中包含已吊销证书的序列号,该序列号由颁发CA或OCSP响应者签名。这可确保当我在我的CA上吊销序列号为123456789的证书时,由您的CA颁发的序列号相同的证书不会被吊销。证书序列号虽然很长,但不是全局唯一的 从安全角度来看,撤销另一个CA的证书只会造成混乱,后果将是可怕的
唯一可以吊销证书的CA是颁发证书的CA。了解,但是否可以将Cisco路由器配置为检查多个CRL或OCSP响应程序,以查看其刚刚颁发的证书是否已被任何子CA吊销?全局序列号唯一性在这里不应该是一个问题,因为我们只讨论了几十个已颁发的证书。全局序列号对您来说可能不是问题,但协议是固定的(RFC 5280-一个很好的睡前阅读),除非您开始重写大量代码,否则您将被卡住;-)。我想到的一个想法是间接CRL,但它们没有得到很好的支持;我不确定他们是否会帮你(需要更多的家庭作业)。你的证书在网络设备上,应该得到保护-你打算多久撤销一次证书?有可能,如果你照看你的网络设备,你将永远不需要撤销。如果你看的是智能手机或用户证书,情况就不同了,它们很容易被泄露。你在寻找一个不存在的问题的解决方案吗?或者你调查这件事有什么特别的原因。