ocsp
点击数:177572013-06-22 18:34:11 来源: 百度百科
新闻摘要:OCSP(Online Certificate Status Protocol,在线证书状态协议)是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个"有效"、"过期"或"未知"的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。
OCSP(Online Certificate Status Protocol,在线证书状态协议)是维护服务器和其它网络资源安全性的两种普遍模式之一。OCSP克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个"有效"、"过期"或"未知"的响应。协议规定了服务器和客户端应用程序的通讯语法。在线证书状态协议给了用户的到期的证书一个宽限期,这样他们就可以在更新以前的一段时间内继续访问服务器。
回复预产生
OCSP响应器可以预先产生用来描述在某个确定时间此证书状态的已签名回复。通过在回复的此次更新域的反映,获得此状态的时间可以被正确认识。下次新近信息则反映在下次更新域中,与此同时产生这个回复的时间则出现在回复的产生时间域中。
OCSP签名权威代表
用来签名证书状态信息的密钥不一定需要和签名此证书的密钥相同。通过发布一张包含有扩展密钥用途域唯一值的OCSP签名者证书证书发布者,可以明确的指派OCSP签名权威机构。这张证书必须直接由认知的CA颁发给响应器。
当CA密钥不安全
如果一个OCSP响应器知道一个特定的CA私钥不安全,那么针对所有这个CA颁布的证书都可以返回一个撤消状态。
证书内容
为 了传达给OCSP客户端一个知道的信息获取点,CA们可以在权威机构信息获取扩展(可以被检测用来使用OCSP)提供这样的能力。作为另外一种选择,也可 以在OCSP客户端本地配置OCSP提供者获取地(信息)。支持OCSP服务的CA,无论是自身实现还是通过授权响应器来提供,都必须提供包括统一资源识 别形式的获取地信息和在一个获取描述序列中的对象识别符号形式的获取方法。在主体证书的获取地域中的值定义了使用什么传输(例如HTTP)来获取OCSP 响应器
并且可以包含其他传输相关信息(例如URL)。
已签名回复的接受条件
在接受一个已签名的回复为有效之前,OCSP客户端必须确认:
1. 在回复信息中所指的证书和相应请求中所指证书一致。
2. 回复中的签名有效。
3. 签名者的身份和相映应接受请求者匹配。
4. 签名者正被授权签名回复。
5. 表示状态被认为是正确的时间(此次更新)足够新。
6. 如果有的话,下次更新的时间应该晚于现时时间。
4. 具体协议
这个ASN.1语法引用了在RFC2459中定义的术语。至于签名运算,被签名的数据使用ASN.1显示编码规则(DER)[x.690]。
除非指定了其他,否则默认使用ASN.1外在标记。从别处引用的的术语有:扩展(Extensions),证书序列 号CertificateSerialNumber),主体公钥信息(SubjectPublicKeyInfo),名称(Name),算法识别 (AlgorithmIdentifier),证书撤消列表原因(CRLReason)
上一页1下一页 |
原文地址:https://www.chinassl.net/faq/n337.html
版权所有@转载请注明出处:CHINASSL[https://www.chinassl.net]