7.6.2. 将 CA 识别到 OCSP Responder

在将 CA 配置为将 CRL 发布到在线证书 Status Manager 之前,必须通过将 CA 签名证书存储在在线证书管理器的内部数据库中来识别 CAL。证书管理器使用与此证书关联的密钥对签名 CRL;在线证书状态管理器对已存储的证书验证签名。
注意
如果在配置了在线证书状态管理器时选择了安全域中的 CA,则不需要额外的步骤来配置在线证书状态管理器来识别 CA;在线证书管理器在 Online Certificate Status Manager 的证书数据库中自动添加并信任 CA 签名证书。但是,如果选择了非安全域 CA,必须在配置了在线证书 Status Manager 后手动将 CA 签名证书添加到证书数据库中。
不需要为 CA 导入证书链,它将将其 CRL 发布到在线证书 Status Manager。OCSP 服务只需要证书链的唯一时间是,如果 CA 在发布其 CRL 时通过 SSL/TLS 身份验证连接到在线证书状态管理器。否则,在线证书状态管理器不需要具有完整的证书链。
但是,在线证书状态管理器必须具有对 CRL 签名的证书(CA 签名证书或单独的 CRL 签名证书),在其证书数据库中。OCSP 服务将 CRL 的证书与数据库中的证书(而不是针对证书链)进行比较来验证 CRL。如果 root CA 和其下从属 CAs 将 CRL 发布到在线证书 Status Manager,在线证书 Status Manager 需要两个 CA 的 CA 签名证书。
要导入用于签署 CA 或 CRL 签名证书的 CA 或 CRL 签名证书,并将其发布到在线证书 Status Manager,请执行以下操作:
  1. 从 CA 的最终页面获取证书管理器的 base-64 CA 签名证书。
  2. 打开 Online Certificate Status Manager 代理页面。URL 的格式是 https://hostname:SSLport/ocsp/agent/ocsp
  3. 在左侧框中,点 Add Certificate Authority
  4. 在表单中,将编码的 CA 签名证书粘贴到标记为 Base 64 编码证书的文本区域中(包括标题和页脚)。
  5. 要验证证书是否已成功添加,请在左边框中点击 List Certificate Authorities
生成的表单应该显示有关新 CA 的信息。此更新、下一次 更新 Requests Served Since Startup 字段应显示为零(0)的值。

7.6.2.1. 验证证书管理器和在线证书状态管理器连接

当证书管理器重启时,它会尝试连接到在线证书状态管理器的 SSL/TLS 端口。要验证证书管理器是否确实与在线证书 Status Manager 通信,请检查 更新和 下一个更新 字段,该字段应该根据 CA 最后一次通信与在线证书状态管理器进行更新。Requests Served Since Startup 字段应该仍然显示零(0),因为没有客户端试图查询 OCSP 服务以获取证书撤销状态。