pshiy
OCSP,百度上的解释是在线证书状态协议(Online Certificate Status Protocol)。
接下来,我来谈谈自己对OCSP的见解。
通常来说,PKI包括的组件有:证书颁发机构CA、数字证书、证书模板、证书吊销列表CDP、权威信息AIA和联机响应OCSP。我认为OCSP是对CRL缺陷的完善。在吊销的证书属性中我们可以看出,CRL是具有发布间隔的,默认间隔周期是1周,也就是说列表信息有可能存在不是最新的情况,存在安全隐患。OCSP能够提供实时检测证书状态的功能,杜绝上述此类情况的发生。
配置OCSP过程
三台虚拟机:
CA
OCSP应答器
Win8客户机
设置联机响应程序:
在PKI架构中,可以存在多台OCSP应答器。OCSP应答器我的理解是:安装了联机响应程序的服务器。
1、 添加角色联机响应程序
PS:由于客户端采用HTTP方式检测证书状态,所以系统还会提示安装IIS功能,这里我事先安装过IIS,所以配置过程中不体现。
2、 CA上发布OCSP证书,应答器注册OCSP证书
找到OCSP响应签名,复制模板
修改名称
添加应答器证书读取权限、注册权限。
启用证书模板
应答器注册证书,这里我采用手动注册的方式注册。
3设置联机响应程序
选择现有企业CA的证书:响应器将读取CA中的列表
从本地证书存储中选择证书:读取本地存储的证书
浏览证书颁发机构,选择自动读取证书
4在CA中发布OCSP 选择授权信息访问
配置还是算简单的
5客户机验证
手动申请个人证书
导出证书并验证ocsp
撤销李万个人证书并发布CRL
重启OCSP-host
验证李万证书
联机响应程序的实验到这差不多结束了。但我有个问题,必须重启安装联机响应程序的服务器
后才能检索出吊销的个人证书?毕竟在实际操作中不现实,求教。
本文出自 “深海大胖鱼” 博客,请务必保留此出处http://5496038.blog.51cto.com/5486038/1856840
原文地址:http://5496038.blog.51cto.com/5486038/1856840