У меня есть следующая проблема: у меня есть самозаверяющий CA (центр сертификации), в основном для личного использования (шифрование и подпись почты, ...). Я создал несколько сертификатов и CRL (которые пока пусты) и опубликовал их все.
Теперь у меня проблема, что я получаю сообщение от kleopatra (менеджер сертификатов X509 под Linux), что CRL устарели и, следовательно, не используются. Кроме того, я предполагаю, что все сертификаты с устаревшим CRL временно отклоняются / аннулируются, пока обновленный CRL не может быть получен по HTTP (в моем случае).
Теперь я хочу знать, как это возможно в профессиональном контексте. Чтобы создать новый CRL с использованием скрипта, я должен был бы поместить незашифрованный (!) закрытый ключ моего корневого CA на рабочий сервер для генерации CRL с использованием скрипта cron. Я не могу поверить, что это необходимо для запуска профессионального центра сертификации, или это так?
Как только возникнет какая-либо проблема на этом сервере, весь корневой сертификат будет скомпрометирован. Это приведет к полной перезагрузке всех сертификатов, и все приложения, установившие этот корневой сертификат, придется изменить вручную. Для (доверенного) корневого сертификата не может быть самого CRL, поэтому мы не можем отозвать его в классическом смысле.
Надеюсь, вы можете объяснить мне вещи.