10.4. 克隆 OCSP 子系统
- 配置主 OCSP 并备份密钥。
- 在 master OCSP 的
CS.cfg
文件中,将 OCSP.Responder.store.defStore.refreshInSec 参数设置为 21600 以外的任何非零数;21600 是克隆的设置。# vim /etc/instance_name/CS.cfg OCSP.Responder.store.defStore.refreshInSec=15000
- 使用
pkispawn
实用程序创建克隆子系统实例。有关克隆 OCSP 子系统时pkispawn
所需的配置文件示例,请查看 pkispawn(8) man page。 - 重启克隆使用的 Directory 服务器实例。
# systemctl dirsrv@instance_name.service
注意重启 Directory 服务器会重新载入更新的模式,这是正确的性能所必需的。 - 重启克隆实例。
# pki-server restart instance_name
配置克隆后,测试以确保 master-clone 关系可以正常工作:
- 在 master CA 中设置 OCSP 发布,以便 CRL 发布到 master OCSP。
- 成功发布 CRL 后,检查代理页面中的主和克隆的 OCSP 列表证书颁发机构 链接。列表应该相同。
- 使用 OCSPClient 工具向 master 和克隆的在线证书状态管理器提交 OCSP 请求。该工具应该从两个管理器接收相同的 OCSP 响应。