如何使用中间证书设置 OCSP 服务器

Posted 2023-03-09

【中文标题】如何使用中间证书设置 OCSP 服务器

【英文标题】：how to setup OCSP server with intermediate certificate

【发布时间】：2021-01-21 15:10:55

【问题描述】：

我正在尝试设置路径长度为 3 到 4 的 OCSP 服务器（根 > IMCA1 > IMCA2 > 服务器）。我想问以下问题。

我应该使用哪个证书来签署 OCSPSIGNING(Responder) 证书？ 当我将初始化 OCSP 服务器时，如果我打算验证叶证书和中间证书，我需要在“CA”属性中提及哪个证书。

【参考方案1】：

有很多方法可以做到这一点，但为了保持清晰、有条理、安全和平衡，我会为每个颁发证书设置一个 OCSP 响应器配置。

所有这一切都来自于在设置我自己的 CA 时进行的艰苦繁琐的测试和配置，该 CA 通过中间 CA 颁发它自己的叶子/EV 证书。

因此，从每个颁发级别签署一个新的 OCSP 响应者证书（也可以使其成为 CRL 签名证书）。在这种情况下，总共有 7 个证书。

在每个证书中，caIssuers 应指向直接颁发的 CA，OCSP 扩展 (authrityInfoAccess) 应指向直接颁发的 CA OCSP 委托，如下所示；

服务器到 IMCA2-OCSP IMCA2、IMCA2-OCSP 到 IMCA1-OCSP IMCA1、IMCA1-OCSP 到 ROOT-OCSP ROOT-OCSP 到 ROOT-OCSP

显然，任何正在验证的计算机都需要信任根。

每个证书可以有多个 caIssuers/OCSP URI，如果支持，OCSP 响应者可以响应多个不同的 CA。

在我的例子中，我使用 Apache、一个 CGI 处理程序、一个 Expect 脚本，并执行一个本地实例 openssl ocsp 来完成 OCSP 工作。 OCSP 请求包括颁发者哈希，然后我查找并使用适当的 CA 进行响应。

问题 2 有点模糊，但在此设置中，每个验证级别的信任锚都是直接颁发的 CA。所以对于服务器，IMCA2-OCSP 响应者只验证到 IMCA2。我强烈推荐这个，只是为了将验证错误隔离到每个级别。请注意，我对所有 OCSP 请求使用相同的地址，因此这不会导致设置额外的 OCSP 服务器。

您可以一直添加到根目录并将它们包含在响应中，但好处几乎不存在。响应将验证签名和证书一直有效，但任何值得使用的 OCSP 客户端也会检查每个证书的吊销状态......这意味着无论如何都要再次访问 OCSP 响应者。

整个设置是自上而下的配置、加载和安全独立设置。理想情况下，根 CA 的 OCSP 响应应该是长期存在的，而在较低的情况下，CA 应该经常更新。这对应于您的证书的生命周期。例如，我的叶子证书有效期为 30 天，我发出的 OCSP 响应被缓存 1 天。我的 CA 证书有效期为 1 年，它们发出的 OCSP 响应被缓存 30 天。我的经验法则是保持 OCSP 响应的缓存时间最长为颁发的最短证书的有效性的 1/10。

旁注-除非明显需要第二个中间体，否则我会跳过构建一个。 Root 可以根据需要构建任意数量的中间体，并且每个中间体都可以用于不同的目的。每个中间人都可以出于任何目的颁发任意数量的叶子证书。创建一个可以创建中间体的中间体有点多。您更有可能希望禁用该功能以避免 Hugh 路径长度。即使是向其他实体颁发 CA 证书的 CA 似乎也是从其根证书颁发的。

与往常一样，如果您需要任何澄清，请 PM 或评论，我会相应地进行编辑。