7.6.2. 将 CA 识别到 OCSP Responder
在将 CA 配置为将 CRL 发布到在线证书 Status Manager 之前,必须通过将 CA 签名证书存储在在线证书管理器的内部数据库中来识别 CAL。证书管理器使用与此证书关联的密钥对签名 CRL;在线证书状态管理器对已存储的证书验证签名。
注意
如果在配置了在线证书状态管理器时选择了安全域中的 CA,则不需要额外的步骤来配置在线证书状态管理器来识别 CA;在线证书管理器在 Online Certificate Status Manager 的证书数据库中自动添加并信任 CA 签名证书。但是,如果选择了非安全域 CA,必须在配置了在线证书 Status Manager 后手动将 CA 签名证书添加到证书数据库中。
不需要为 CA 导入证书链,它将将其 CRL 发布到在线证书 Status Manager。OCSP 服务只需要证书链的唯一时间是,如果 CA 在发布其 CRL 时通过 SSL/TLS 身份验证连接到在线证书状态管理器。否则,在线证书状态管理器不需要具有完整的证书链。
但是,在线证书状态管理器必须具有对 CRL 签名的证书(CA 签名证书或单独的 CRL 签名证书),在其证书数据库中。OCSP 服务将 CRL 的证书与数据库中的证书(而不是针对证书链)进行比较来验证 CRL。如果 root CA 和其下从属 CAs 将 CRL 发布到在线证书 Status Manager,在线证书 Status Manager 需要两个 CA 的 CA 签名证书。
要导入用于签署 CA 或 CRL 签名证书的 CA 或 CRL 签名证书,并将其发布到在线证书 Status Manager,请执行以下操作:
- 从 CA 的最终页面获取证书管理器的 base-64 CA 签名证书。
- 打开 Online Certificate Status Manager 代理页面。URL 的格式是 https://hostname:SSLport/ocsp/agent/ocsp。
- 在左侧框中,点。
- 在表单中,将编码的 CA 签名证书粘贴到标记为 Base 64 编码证书的文本区域中(包括标题和页脚)。
- 要验证证书是否已成功添加,请在左边框中点击 List Certificate Authorities。
生成的表单应该显示有关新 CA 的信息。此更新、下一次 更新 和 Requests Served Since Startup 字段应显示为零(0)的值。
7.6.2.1. 验证证书管理器和在线证书状态管理器连接
当证书管理器重启时,它会尝试连接到在线证书状态管理器的 SSL/TLS 端口。要验证证书管理器是否确实与在线证书 Status Manager 通信,请检查 此 更新和 下一个更新 字段,该字段应该根据 CA 最后一次通信与在线证书状态管理器进行更新。Requests Served Since Startup 字段应该仍然显示零(0),因为没有客户端试图查询 OCSP 服务以获取证书撤销状态。