什么是CRL

CRL是证书作废表的缩写。CRL中记录尚未过期含橡轿但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。在验证证书或签名时，谈肆应用系统可以通过检查 CRL，来确定给定证书是否仍然可信（有些应用程序使用 CryptoAPI 中如此的 Microsoft 证书链验证 API 来完成此任务）。如果不可信，应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。

证书吊销列表 (Certificate Revocation List ，简称： CRL) 是 PKI 系统中的一个结构化数据文件，该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间，以及采用的签名算法等。证书吊销列表最短的有效期为一个小时，一般为 1 天，甚至一个月不等，由各个证书颁发机构在设置其证书颁发系统时设置。

英文：Certificate Revocation List 简称：CRL

出处：ITU/T X.509 | ISO/IEC 9594-8：2001，GB/T 16264.8-2005

定义：一个被签署的列表，它指定了一套证书发布者认为无效的证书。除了普通CRL外，还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。

解释：CRL一定是被CA所签署的，可以使用与签发证书相同的私钥，也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。

证书吊销

证书具有一个指定的寿命，但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL)，列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。

可将下列情况指定为吊销证书的理由：

1、泄露密钥。

2、泄露 CA。

3、从属关系改变。

4、被取代。

5、业务终止。

证书持有（这是唯一能够改变被吊销证书状态的理由码，在证书状态有问题的情况下非常有用）。

由 CA 吊销证书意味着，CA 在证书正常到期之前撤销其允许使用该密钥对的有关声明。在吊销的证书到期之后，CRL 中的有关条目被没宴嫌删除，以缩短 CRL 列表的大小。

在验证签名期间，应用程序可以检查 CRL，以确定给定证书和密钥对是否仍然可信（有些应用程序使用 CryptoAPI 中的 Microsoft 证书链验证 API 来完枯手成此任务）。如果不可信，应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。如果该证书被用来验证签名，且签名的日期早于 CA 吊销该证书的日期，那么该签名仍被认为是有效的。

应用程序获得 CRL 之后，由客户机缓存 CRL ，在它到期之前客户机将一直使用它。如果 CA 发布了祥明新的 CRL，拥有有效 CRL 的应用程序并 不 使用新的 CRL，直到应用程序拥有的 CRL 到期为止。

---