pshiy

OCSP,百度上的解释是在线证书状态协议(Online Certificate Status Protocol)

接下来,我来谈谈自己对OCSP的见解。

通常来说,PKI包括的组件有:证书颁发机构CA、数字证书、证书模板、证书吊销列表CDP、权威信息AIA和联机响应OCSP。我认为OCSP是对CRL缺陷的完善。在吊销的证书属性中我们可以看出,CRL是具有发布间隔的,默认间隔周期是1周,也就是说列表信息有可能存在不是最新的情况,存在安全隐患。OCSP能够提供实时检测证书状态的功能,杜绝上述此类情况的发生。

配置OCSP过程

三台虚拟机:

CA

OCSP应答器

Win8客户机

设置联机响应程序:

PKI架构中,可以存在多台OCSP应答器。OCSP应答器我的理解是:安装了联机响应程序的服务器。

1、 添加角色联机响应程序

PS:由于客户端采用HTTP方式检测证书状态,所以系统还会提示安装IIS功能,这里我事先安装过IIS,所以配置过程中不体现。

2、  CA上发布OCSP证书,应答器注册OCSP证书

找到OCSP响应签名,复制模板

修改名称

添加应答器证书读取权限、注册权限。

启用证书模板

应答器注册证书,这里我采用手动注册的方式注册。

3设置联机响应程序

 

选择现有企业CA的证书:响应器将读取CA中的列表

从本地证书存储中选择证书:读取本地存储的证书

浏览证书颁发机构,选择自动读取证书

 

4CA中发布OCSP 选择授权信息访问

 

配置还是算简单的

5客户机验证

手动申请个人证书

 

导出证书并验证ocsp

spacer.gif

撤销李万个人证书并发布CRL

 

重启OCSP-host

验证李万证书

 

联机响应程序的实验到这差不多结束了。但我有个问题,必须重启安装联机响应程序的服务器

后才能检索出吊销的个人证书?毕竟在实际操作中不现实,求教。