如何解决如何使用中间证书设置 OCSP 服务器
我正在尝试设置路径长度为 3 到 4 的 OCSP 服务器(根 > IMCA1 > IMCA2 > 服务器)。我想问以下问题。
- 我应该使用哪个证书来签署 OCSPSIGNING(Responder) 证书?
- 当我将初始化 OCSP 服务器时,在“CA”属性中,如果我打算验证叶证书和中间证书,我需要提及哪个证书。
解决方法
有很多方法可以做到这一点,但为了使事情清晰、有条理、安全和平衡,我会为每个颁发证书设置一个 OCSP 响应程序配置。
所有这些都来自于在设置我自己的 CA 时进行的繁琐乏味的测试和配置,该 CA 通过中间 CA 颁发自己的叶子/EV 证书。
因此,从每个颁发级别签署一个新的 OCSP 响应者证书(也可以使其成为 CRL 签名证书)。在这种情况下,这导致总共 7 个证书。
在每个证书中,caIssuers 应该指向直接颁发的 CA,并且 OCSP 扩展 (authrityInfoAccess) 应该像这样指向直接颁发的 CA OCSP 委托;
服务器到 IMCA2-OCSP IMCA2、IMCA2-OCSP 到 IMCA1-OCSP IMCA1、IMCA1-OCSP 到 ROOT-OCSP ROOT-OCSP 到 ROOT-OCSP
Root 显然需要被任何正在验证的计算机信任。
每个证书可以有多个 caIssuers/OCSP URI,如果支持,一个 OCSP 响应者可以响应多个不同的 CA。
就我而言,我使用 Apache、CGI 处理程序、Expect 脚本并执行 openssl ocsp
的本地实例来完成 OCSP 工作。 OCSP 请求包含颁发者哈希,然后我会查找该哈希并使用适当的 CA 进行响应。
问题 2 有点含糊,但在此设置中,每个验证级别的信任锚都是直接颁发的 CA。因此,对于服务器,IMCA2-OCSP 响应程序最多只验证 IMCA2。我强烈推荐这样做,只是为了将验证错误隔离到每个级别。请注意,我对所有 OCSP 请求使用相同的地址,因此这不会导致设置额外的 OCSP 服务器。
您可以一直添加更多中间体直到根,并将它们包含在响应中,但好处几乎不存在。响应将验证签名和证书一直有效,但任何值得使用的 OCSP 客户端也会检查每个证书的吊销状态......这意味着无论如何都要再次访问 OCSP 响应者。
整个设置是自上而下的配置、负载和安全独立设置。理想情况下,根 CA 的 OCSP 响应应该是长期存在的,而在较低的情况下,CA 应该经常更新。这对应于您的证书的生命周期。例如,我的叶证书的有效期为 30 天,而我发出的 OCSP 响应会缓存 1 天。我的 CA 证书有效期为 1 年,其颁发的 OCSP 响应会缓存 30 天。我的经验法则是将 OCSP 响应缓存最多 1/10 的最短颁发证书的有效性。
旁注-除非明显需要第二个中间体,否则我会跳过构建一个。 Root 可以根据需要构建任意数量的中间体,并且每个中间体都可以用于不同的目的。无论出于何种目的,每个中间体都可以颁发任意数量的叶证书。创建一个可以创建中间体的中间体有点多。您更有可能希望禁用该功能以避免休路径长度。甚至向其他实体颁发 CA 证书的 CA 似乎也是从其根颁发。
与往常一样,如果您需要任何说明,请 PM 或发表评论,我会相应地进行编辑。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。