0

我已经生成了我的私有根 CA,然后是用于签署证书而不是直接 RootCA 的中间 CA。现在我想设置 OCSP 服务器,因此有一些查询。

  • 既然我使用的是Intermediate CA,我应该使用Int CA来生成CSR并生成CRT吗?还是应该使用 Root 来生成 OCSP crt?我计划提供大约 400-500 台服务器服务器证书,因此想知道一个 ocsp 服务器是否足以满足我检查吊销的需要?谁能告诉我直接nginx是否可以用于设置ocsp服务器或只需要我们openssl ocsp api?
4

1 回答 1

0

您通常会使用专用的 Int CA 来生成 CSR。Root 就像一个圣杯,应该保存在一个最好离线的保存位置。只要您不需要 HA,一旦 OCSP Server 就可以处理它。但不是服务器数量很重要,而是您期望有多少客户端,因为并非所有客户端都可以处理 OCSP-Stappling。您当然需要 openssl api,因为 nginx 不会处理开箱即用的加密内容。

于 2021-06-11T11:45:30.830 回答