10.4. 克隆 OCSP 子系统

  1. 配置主 OCSP 并备份密钥。
  2. 在 master OCSP 的 CS.cfg 文件中,将 OCSP.Responder.store.defStore.refreshInSec 参数设置为 21600 以外的任何非零数;21600 是克隆的设置。 
    # vim /etc/instance_name/CS.cfg

OCSP.Responder.store.defStore.refreshInSec=15000
  3. 使用 pkispawn 实用程序创建克隆子系统实例。
    有关克隆 OCSP 子系统时 pkispawn 所需的配置文件示例,请查看 pkispawn(8) man page。
  4. 重启克隆使用的 Directory 服务器实例。 
    # systemctl dirsrv@instance_name.service
    注意
    重启 Directory 服务器会重新载入更新的模式,这是正确的性能所必需的。
  5. 重启克隆实例。 
    # pki-server restart instance_name
配置克隆后,测试以确保 master-clone 关系可以正常工作:
  1. 在 master CA 中设置 OCSP 发布,以便 CRL 发布到 master OCSP。
  2. 成功发布 CRL 后,检查代理页面中的主和克隆的 OCSP 列表证书颁发机构 链接。列表应该相同。
  3. 使用 OCSPClient 工具向 master 和克隆的在线证书状态管理器提交 OCSP 请求。该工具应该从两个管理器接收相同的 OCSP 响应。