7.6. 使用在线证书状态协议(OCSP)响应
7.6.1. 设置 OCSP Responder
如果在配置了 Online Certificate Status Manager 时选择了安全域中的 CA,则不需要额外的步骤来配置 OCSP 服务。CA 的 CRL 发布会自动设置,其签名证书会在在线证书状态管理器的证书数据库中自动添加和信任。但是,如果选择了非安全域 CA,必须在配置在线证书状态管理器后手动配置 OCSP 服务。
注意
在配置了 OCSP Manager 时,OCSP Manager 将自动信任 OCSP Manager 中的每个 CA。在 CA 面板中配置的 CA 证书链中的每个 CA 都由 OCSP Manager 自动信任。安全域中的其他 CA,但不能在证书链中被手动信任。
要为安全域以外的证书管理器设置在线证书状态管理器:
- 为每个将发布到 OCSP 响应器的 CA 配置 CRL。
- 启用发布、设置发布程序,并在 OCSP 服务将处理每个 CA 中设置发布规则(第 8 章 发布证书和 CRL)。如果证书管理器发布到 LDAP 目录,并且将在线证书状态管理器设置为从该目录中读取,则不需要这一步。
- 证书配置集必须被配置为包括授权信息访问扩展,指向证书管理器在哪个位置侦听 OCSP 服务请求(第 7.6.4 节 “启用证书管理器的内部 OCSP 服务”)。
- 配置 OCSP Responder。
- 识别每个发布证书管理器到 OCSP 响应器(第 7.6.2 节 “将 CA 识别到 OCSP Responder”)。
- 如有必要,配置对对 OCSP 签名证书(第 16.7 节 “更改 CA 证书的信任设置”)的 CA 的信任设置。
- 在配置这两个子系统后,重启这两个子系统。
- 验证 CA 是否已正确连接到 OCSP 响应器(第 7.6.2.1 节 “验证证书管理器和在线证书状态管理器连接”)。