所以我正在浏览PKI的概述作者Joel Weise(http://highsecu.free.fr/db/outils_de_securite/cryptographie/pki/publickey.pdf),有一点我不太了解,何时通过LDAP使用OCSP响应器来检查给定证书的有效性?假设某些CA公开了两者 - 何时使用OCSP服务,何时使用证书存储库LDAP服务器?
答案 0 :(得分:3)
以这种方式思考可能会有所帮助。
证书颁发机构生成证书吊销列表(CRL)。 (您可以直接查询CA,但由于存在泄露私钥(秘密)的风险,这是一个坏主意。)
然后可以通过LDAP或HTTP使CRL可用。 (如果你有一个小的部署,你可能会停在这里)
OCSP服务器(或依赖于本地语言的验证机构)也可以使用CRL。一旦这样做,它就可以处理验证(证书状态)请求。 (如果你有更大的部署和处理CRL很麻烦,你可以考虑这个选项)
有选项(第三方,例如不是Microsoft),因为有分布式OCSP响应者已经预先签署了响应,然后转发和存储(而不是多个OCSP服务器)。 (考虑一下,如果您仍然拥有相对较大的部署,并且您可以将网络可用性,扩展,加载问题作为另一种选择)。
最后确保您不仅要检查证书状态,还要检查证书信任。在联合环境中,您可能需要将服务器证书验证协议(SCVP)视为对上述内容的补充。