7.6.4. 启用证书管理器的内部 OCSP 服务

证书管理器中有一个内置 OCSP 服务，它可供 OCSP 兼容客户端用于查询证书管理器，以直接与证书的撤销状态进行查询。安装证书管理器后，会发出 OCSP 签名证书，默认启用 OCSP 服务。此 OCSP 签名证书用于签署对 OCSP 服务请求的所有响应。由于内部 OCSP 服务检查存储在证书管理器内部数据库中的证书状态，因此发布不必配置为使用此服务。

客户端可以通过证书管理器的非 SSL/TLS 端点端口查询 OCSP 服务。查询证书的撤销状态时，证书管理器将搜索其内部数据库以获取证书，检查其状态，并响应客户端。由于证书管理器具有其发布的所有证书的实时状态，因此这种撤销检查方法是最准确的。

每个 CA 内置 OCSP 服务在安装时打开。但是，为了使用此服务，CA 需要使用授权信息访问扩展发布证书。

进入 CA 的最终用户页面。例如：
```
https://server.example.com:8443/ca/ee/ca
```
查找 CA 签名证书。
在证书中查找 Authority Info Access 扩展，并记录 Location URIName 值，如 https://server.example.com:8443/ca/ocsp。
更新注册配置集，以启用授权信息访问扩展，并将 Location 参数设置为证书管理器的 URI。有关编辑证书配置集的详情请参考第 3.2 节 “设置证书配置集”。

重启 CA 实例。

]# systemctl restart pki-tomcatd@instance-name.service

注意

要禁用证书管理器的内部 OCSP 服务，请编辑 CA 的 CS.cfg 文件，并将 ca.ocsp 参数的值更改为 false。

ca.ocsp=false

Select Your Language

7.6.4. 启用证书管理器的内部 OCSP 服务

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

7.6.4. 启用证书管理器的内部 OCSP 服务

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links