pshiy

OCSP,百度上的解释是在线证书状态协议(Online Certificate Status Protocol)

接下来,我来谈谈自己对OCSP的见解。

通常来说,PKI包括的组件有:证书颁发机构CA、数字证书、证书模板、证书吊销列表CDP、权威信息AIA和联机响应OCSP。我认为OCSP是对CRL缺陷的完善。在吊销的证书属性中我们可以看出,CRL是具有发布间隔的,默认间隔周期是1周,也就是说列表信息有可能存在不是最新的情况,存在安全隐患。OCSP能够提供实时检测证书状态的功能,杜绝上述此类情况的发生。

wKiom1fpwaSx9CVUAABD2gK05rk147.png-wh_50

配置OCSP过程

三台虚拟机:

CA

OCSP应答器

Win8客户机

设置联机响应程序:

PKI架构中,可以存在多台OCSP应答器。OCSP应答器我的理解是:安装了联机响应程序的服务器。

1、 添加角色联机响应程序

PS:由于客户端采用HTTP方式检测证书状态,所以系统还会提示安装IIS功能,这里我事先安装过IIS,所以配置过程中不体现。

wKioL1fpwdbRj_WuAADgZWufQAU445.png-wh_50



2、  CA上发布OCSP证书,应答器注册OCSP证书

wKioL1fpwdfzYeypAACw9TT5258460.png-wh_50

找到OCSP响应签名,复制模板

wKiom1fpwdjR1i7oAACtNAjoUO8015.png-wh_50

修改名称

wKiom1fpwdiy1p-8AABIZmeg7j4178.png-wh_50

添加应答器证书读取权限、注册权限。

wKioL1fpwdnBreBzAAB3BnUeiko186.png-wh_50

启用证书模板

wKiom1fpwdrDdq68AACQNeHXZKk623.png-wh_50

应答器注册证书,这里我采用手动注册的方式注册。

wKioL1fpwdqDamLOAACjAds9R1c840.png-wh_50

wKioL1fpwdrz0txAAABCOxL0Sks967.png-wh_50

wKiom1fpwdvx7GKaAABK-HjdE6Y926.png-wh_50

3设置联机响应程序

wKiom1fpwduSbBGcAACkuQu1gq8931.png-wh_50

 

wKiom1fpwdzwuz1NAACJ9XxO1Zw109.png-wh_50

选择现有企业CA的证书:响应器将读取CA中的列表

从本地证书存储中选择证书:读取本地存储的证书

wKiom1fpwd2AMZNyAACtPI2V0Ik480.png-wh_50

浏览证书颁发机构,选择自动读取证书

wKiom1fpwd2xbLTGAACToP93rKQ662.png-wh_50

wKiom1fpwd7wtdjvAAC5h7-4MnE547.png-wh_50

wKiom1fpwd-i7Cb0AACOECQJwhc143.png-wh_50

wKiom1fpweDiDa8yAABX5MAdBfU413.png-wh_50

 

4CA中发布OCSP 选择授权信息访问

wKioL1fpweCRlKXdAABt8xn32Sk820.png-wh_50

 

配置还是算简单的

5客户机验证

手动申请个人证书

wKioL1fpweHChmlcAACZ-8bBUvU602.png-wh_50

 

导出证书并验证ocsp

spacer.gif

wKiom1fpxKnThnikAABQ8wpLVsc441.png-wh_50



撤销李万个人证书并发布CRL

wKiom1fpxKmhUl6XAACDnKRTQjk018.png-wh_50

wKioL1fpxKmy58zeAABBh5r96j4170.png-wh_50

 

重启OCSP-host

验证李万证书

wKiom1fpxKrBjJZXAABLVsa49KA242.png-wh_50

 

联机响应程序的实验到这差不多结束了。但我有个问题,必须重启安装联机响应程序的服务器

后才能检索出吊销的个人证书?毕竟在实际操作中不现实,求教。