16 Netscape Certificate Management System Installation and Setup Guide • October 2001Publishing of CRLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610What’s a CRL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611Reasons for Revoking a Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612Revocation Checking by Netscape Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613Revocation Checking by Netscape Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613Publishing of CRLs to an LDAP Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614CRL Issuing Points . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615Configuring a Certificate Manager to Publish Certificates and CRLs . . . . . . . . . . . . . . . . . . . . . . . . . 615Step 1. Before You Begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616Step 2. Set Up the Directory for Publishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618Step A. Verify the Directory Schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618Step B. Add an Entry for the CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619Step C. Identify an Entry That Has Write Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621Step D. Verify Entries for End Entities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621Step E. Specify the Directory Authentication Method . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622Step F. Modify the Certificate Mapping File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632Step G. Restart Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636Step 3. Configure the Certificate Manager to Publish Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . 636Step A. Modify the Default Mappers, Publishers, and Publishing Rules . . . . . . . . . . . . . . . . . 636Step B. Add Mappers, Publishers, and Publishing Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642Step 4. Configure the Certificate Manager to Publish CRLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648Step A. Specify CRL Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649Step B. Set the CRL Extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651Step C. Create a Mapper for the CRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652Step D. Create a Publisher for the CRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653Step E. Create a Publishing Rule for the CRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655Step 5. Identify the Publishing Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656Step 6. Test Certificate and CRL Publishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658Step A. Decide a Directory Entry for Requesting a Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . 659Step B. Request a Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659Step C. Approve the Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659Step D. Download the Certificate to the Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660Step E. Check if the Directory Has the Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660Step F. Revoke the Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661Step G. Check the Directory for the CRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662Manually Updating Certificates and CRLs in a Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662Manually Updating Certificates in the Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663Manually Updating the CRL in the Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664Chapter 20 Publishing Certificates and CRLs to a File . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667Configuring Certificate Manager to Publish to Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667Step 1. Before You Begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668Step 2. Configure the Certificate Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669