1

So i was sniffing through the pages of PKI's Overview by Joel Weise (http://highsecu.free.fr/db/outils_de_securite/cryptographie/pki/publickey.pdf) and one thing i didn't quite get is, when to use an OCSP responder over LDAP for checking up the validity of a given certificate ? Say some CA exposes both - when to use the OCSP service, when to use the Certificate Depositories LDAP servers ?

4

1 回答 1

3

以这种方式思考可能会有所帮助。

证书颁发机构生成证书吊销列表 (CRL)。(您可以直接查询 CA,但这是一个坏主意,因为有暴露私钥(秘密)的风险)。

然后可以通过 LDAP 或 HTTP 使 CRL 可用。(如果你有一个小部署,你可能会在这里停下来)

OCSP 服务器(或验证机构,取决于当地语言)也可以使用 CRL。一旦这样做,它就可以处理验证(证书状态)请求。(如果您有更大的部署并且处理 CRL 很麻烦,您可能会考虑使用此选项)

有一些选项(第 3 方,例如不是 Microsoft)可以让分布式 OCSP 响应者预先签署响应,然后转发和存储(而不是多个 OCSP 服务器)。(考虑您是否仍然有一个相对较大的部署,并且您有网络可用性、规模、加载问题作为另一种选择)。

最后确保您不仅要检查证书状态,还要检查证书信任。在联合环境中,您可能需要考虑将服务器证书验证协议 (SCVP) 作为上述内容的补充。

于 2012-04-16T11:07:52.693 回答