Это дополнительный вопрос к:
как-делать-я-Create-A-самозаверяющими-сертификата для кода подписывания-на-окна
Если пойти дальше, если я создал сертификат CA и создал набор сертификатов SPC, как мне создать списки отзыва и распространить их? (примечание: я ничего не знаю о том, как работают CRL, как они распределяются и т. д.) Если бы я УГЛАСИЛ, как все это работает, я бы надеялся, что сертификат CA определил какой-то HTTP-адрес, по которому можно загрузить CRL, и Windows свяжется с ним. адрес в первый раз, когда запрашивалась цепочка сертификатов, и каждый раз, когда истекает текущий CRL ... Тогда все, что мне нужно сделать, это создать подписанный веб-адрес, который распространяет серийные номера сертификатов ...?
РЕДАКТИРОВАТЬ: САМО ОТВЕТЫ
Для всех, кому это интересно, Bouncy Castle - это библиотека Java + C #, предоставляющая огромный набор PKI Crypto API, включая генерацию сертификатов.
Их пример кода (в их загрузках) демонстрирует, как генерировать связанный набор сертификатов CA, Intermediate и «Personal».
То, что он не показывает, это как правильно назначить CRL на основе HTTP - вы можете сделать это с помощью этого кода:
GeneralName gn = new GeneralName(new DerIA5String("http://localhost/revocationlist.crl"), 6);
GeneralNames gns = new GeneralNames(gn);
DistributionPointName dpn = new DistributionPointName(gns);
DistributionPoint distp = new DistributionPoint(dpn, null, null);
DerSequence seq = new DerSequence(distp);
v3CertGen.AddExtension(X509Extensions.CrlDistributionPoints, false, seq);