7.6.2.4. 测试 OCSP 服务设置
通过执行以下操作测试证书管理器是否可以正确服务 OCSP 请求:
- 在浏览器或客户端中打开撤销检查。
- 从为 OCSP 服务启用的 CA 请求证书。
- 批准请求。
- 将证书下载到浏览器或客户端。
- 确保 CA 由浏览器或客户端信任。
- 检查证书管理器的内部 OCSP 服务的状态。打开 CA 代理服务页面,然后选择 OCSP Services 链接。
- 测试独立在线证书状态管理器子系统。打开 Online Certificate Status Manager agent services 页面,然后单击 List Certificate Authorities 链接。该页面应显示有关证书管理器的信息,以将 CRL 发布到在线证书状态管理器。该页面还总结了自上次启动以来在线证书状态管理器的活动。
- 撤销证书。
- 在浏览器或客户端中验证证书。服务器应该返回证书已被撤销。
- 再次检查证书管理器的 OCSP-service 状态,以验证是否发生了这些问题:
- 浏览器将 OCSP 查询发送到证书管理器。
- 证书管理器向浏览器发送 OCSP 响应。
- 浏览器用于响应验证证书并返回其状态,该浏览器无法验证证书。
- 再次检查独立的 OCSP 服务子系统,以验证是否发生了这些问题:
- 证书管理器将 CRL 发布到在线证书状态管理器。
- 浏览器将 OCSP 响应发送到在线证书状态管理器。
- 在线证书状态管理器将 OCSP 响应发送到浏览器。
- 浏览器用于响应验证证书并返回其状态,该浏览器无法验证证书。