9.3. 配置发布到 OCSP
配置发布的一般流程涉及设置发布者,以将证书或 CRL 发布到特定位置。根据要使用的位置数量,可以有一个发布者或多个发布者。位置可以通过证书和 CRL 或更精细的定义(如证书类型)分割。规则决定要发布的类型以及与发布者关联的位置。
发布到 OCSP 管理器是一种将 CRL 发布到特定位置以进行客户端验证的方法。
必须为每个发布位置创建和配置发布程序;发布到 OCSP 响应者不会自动创建发布者。创建一个发布者,将所有内容发布到单个位置,或为每个要发布 CRL 的位置创建一个发布者。每个位置都可以包含不同类型的 CRL。
9.3.1. 启用使用客户端身份验证发布到 OCSP
- 登录证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 Publishing,然后选择 Publishs。
- 单击 以打开 Select \":\" Plug-in Implementation 窗口,该窗口列出了注册的发布者模块。
- 选择 OCSPPublisher 模块,然后打开编辑器窗口。这是发布者模块,使证书管理器能够向在线证书状态管理器发布 CRL。
- 发布者 ID 必须是没有空格的字母字符串,如 PublishCertsToOCSP。
- 主机 可以是完全限定域名,如 ocspResponder.example.com,也可以是 IPv4 或 IPv6 地址。
- 默认路径是将 CRL 发送到的目录,如
/ocsp/agent/ocsp/addCRL。 - 如果使用客户端身份验证(选中enableClientAuth ),则 nickname 字段提供了用于身份验证的证书的 nickname 字段。此证书必须已存在于 OCSP 安全数据库中;这通常是 CA 子系统证书。
- 在 OCSP Manager 中为 CA 创建用户条目。用户用于在发送新的 CRL 时向 OCSP 进行身份验证。需要两方面:
- 在 CA 服务器后命名 OCSP 用户条目,如 CA-hostname-EEport。
- 使用 publisher 配置中指定的任何证书作为 OCSP 用户帐户中的用户证书。这通常是 CA 的子系统证书。
第 15.3.2.1 节 “创建用户” 中涵盖了设置子系统用户。
配置发布程序后,为发布的证书和 CRL 配置规则,如 第 9.5 节 “创建规则” 所述。
注意
pkiconsole 已被弃用。
