8.3. 配置发布到 OCSP
配置发布的一般过程涉及设置发布发布程序,以将证书或 CRL 发布到特定位置。根据所使用的位置数量,可以使用单个发布程序或多个发布者。可以通过证书和 CRL 或精细定义(如证书类型)来分割位置。规则通过与发布者关联,确定要发布哪些类型,并告知什么位置。
发布到 OCSP Manager 是一种将 CRL 发布到特定位置以进行客户端验证的方法。
必须为每个发布位置创建和配置发布程序;不会自动创建发布发布程序以发布到 OCSP 响应者。创建一个发布程序,将所有内容发布到单个位置,或为发布 CRL 的每个位置创建一个发布发布发布发布发布器。每个位置都可以包含不同类型的 CRL。
8.3.1. 启用通过客户端身份验证发布到 OCSP
- 登录到证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 发布,然后选择 发布软件软件。
- 点 打开 Select publisher Plug-in Implementation 窗口,它列出了注册的发布程序模块。
- 选择 OCSPPublisher 模块,然后打开编辑器窗口。这是让证书管理器将 CRL 发布到在线证书状态管理器的 publisher 模块。
- publisher ID 必须是字母数字字符串,没有空格,如 PublishCertsToOCSP。
- 主机 可以是完全限定的域名,如 ocspResponder.example.com,也可以是 IPv4 或 IPv6 地址。
- 默认路径是要将 CRL 发送到的目录,如
/ocsp/agent/ocsp/addCRL。 - 如果使用了客户端身份验证(选中了enableClientAuth ),则 nickname 字段则提供要用于身份验证的证书的 nickname。此证书必须已存在于 OCSP 安全数据库中,这通常是 CA 子系统证书。
- 在 OCSP Manager 上为 CA 创建用户条目。在发送新 CRL 时,用户用于对 OCSP 进行身份验证。需要两个操作:
- 在 CA 服务器后面命名 OCSP 用户条目,如 CA-hostname-EEport。
- 使用 publisher 配置中指定的任何证书作为 OCSP 用户帐户中的用户证书。这通常是 CA 的子系统证书。
设置子系统用户包括在 第 14.3.2.1 节 “创建用户” 中。
配置发布程序后,为已发布的证书和 CRL 配置规则,如 第 8.5 节 “创建规则” 所述。
