RFC 5280规定:
CRL颁发者签发CRL。CRL颁发者可以是CA本身,也可以是获得CA授权颁发CRL的实体。ca发布crl以提供有关它们颁发的证书的状态信息。但是,CA可以将此职责委托给另一个受信任的机构。
问:CA是否有"授权"的标准方式?不是实际CA的特定CRL颁发者?
换句话说,如果CA证书包含CRL分发点URL,该URL包含由某个密钥签名的CRL,而不是"this"的SubjectKey;cert(包含CRL分发点扩展名的那个),"这个"如何CA指出可以签署CRL的有效密钥吗?
CDP条目将包含一个cRLIssuer的值,用于指示该位置的CRL的预期签名者是谁。
然后CRL必须通过发布分发点扩展断言它是一个间接CRL。
如果CRL签名者的主题与颁发CA的主题不相同,那么Windows和OpenSSL将在此时停止并假装CRL不存在(参见https://security.stackexchange.com/questions/242185/deployment-tips-to-support-indirect-crls)。但是,根据这个问题和答案,它们确实支持让CA为CA和CRL签名使用不同的密钥的概念。