pshiy

OCSP,百度上的解释是在线证书状态协议(Online Certificate Status Protocol)

接下来,我来谈谈自己对OCSP的见解。

通常来说,PKI包括的组件有:证书颁发机构CA、数字证书、证书模板、证书吊销列表CDP、权威信息AIA和联机响应OCSP。我认为OCSP是对CRL缺陷的完善。在吊销的证书属性中我们可以看出,CRL是具有发布间隔的,默认间隔周期是1周,也就是说列表信息有可能存在不是最新的情况,存在安全隐患。OCSP能够提供实时检测证书状态的功能,杜绝上述此类情况的发生。

winserver2012R2 部署联机响应程序_第1张图片

配置OCSP过程

三台虚拟机:

CA

OCSP应答器

Win8客户机

设置联机响应程序:

PKI架构中,可以存在多台OCSP应答器。OCSP应答器我的理解是:安装了联机响应程序的服务器。

1、 添加角色联机响应程序

PS:由于客户端采用HTTP方式检测证书状态,所以系统还会提示安装IIS功能,这里我事先安装过IIS,所以配置过程中不体现。

winserver2012R2 部署联机响应程序_第2张图片



2、  CA上发布OCSP证书,应答器注册OCSP证书

winserver2012R2 部署联机响应程序_第3张图片

找到OCSP响应签名,复制模板

winserver2012R2 部署联机响应程序_第4张图片

修改名称

winserver2012R2 部署联机响应程序_第5张图片

添加应答器证书读取权限、注册权限。

winserver2012R2 部署联机响应程序_第6张图片

启用证书模板

winserver2012R2 部署联机响应程序_第7张图片

应答器注册证书,这里我采用手动注册的方式注册。

winserver2012R2 部署联机响应程序_第8张图片

winserver2012R2 部署联机响应程序_第9张图片

winserver2012R2 部署联机响应程序_第10张图片

3设置联机响应程序

winserver2012R2 部署联机响应程序_第11张图片

 

winserver2012R2 部署联机响应程序_第12张图片

选择现有企业CA的证书:响应器将读取CA中的列表

从本地证书存储中选择证书:读取本地存储的证书

winserver2012R2 部署联机响应程序_第13张图片

浏览证书颁发机构,选择自动读取证书

winserver2012R2 部署联机响应程序_第14张图片

winserver2012R2 部署联机响应程序_第15张图片

winserver2012R2 部署联机响应程序_第16张图片

winserver2012R2 部署联机响应程序_第17张图片

 

4CA中发布OCSP 选择授权信息访问

winserver2012R2 部署联机响应程序_第18张图片

 

配置还是算简单的

5客户机验证

手动申请个人证书

winserver2012R2 部署联机响应程序_第19张图片

 

导出证书并验证ocsp

winserver2012R2 部署联机响应程序_第20张图片

winserver2012R2 部署联机响应程序_第21张图片



撤销李万个人证书并发布CRL

winserver2012R2 部署联机响应程序_第22张图片

winserver2012R2 部署联机响应程序_第23张图片

 

重启OCSP-host

验证李万证书

winserver2012R2 部署联机响应程序_第24张图片

 

联机响应程序的实验到这差不多结束了。但我有个问题,必须重启安装联机响应程序的服务器

后才能检索出吊销的个人证书?毕竟在实际操作中不现实,求教。