7.6.2.4. 测试 OCSP 服务设置

通过执行以下操作测试证书管理器是否可以正确服务 OCSP 请求:
  1. 在浏览器或客户端中打开撤销检查。
  2. 从为 OCSP 服务启用的 CA 请求证书。
  3. 批准请求。
  4. 将证书下载到浏览器或客户端。
  5. 确保 CA 由浏览器或客户端信任。
  6. 检查证书管理器的内部 OCSP 服务的状态。
    打开 CA 代理服务页面,然后选择 OCSP Services 链接。
  7. 测试独立在线证书状态管理器子系统。
    打开 Online Certificate Status Manager agent services 页面,然后单击 List Certificate Authorities 链接。
    该页面应显示有关证书管理器的信息,以将 CRL 发布到在线证书状态管理器。该页面还总结了自上次启动以来在线证书状态管理器的活动。
  8. 撤销证书。
  9. 在浏览器或客户端中验证证书。服务器应该返回证书已被撤销。
  10. 再次检查证书管理器的 OCSP-service 状态,以验证是否发生了这些问题:
    • 浏览器将 OCSP 查询发送到证书管理器。
    • 证书管理器向浏览器发送 OCSP 响应。
    • 浏览器用于响应验证证书并返回其状态,该浏览器无法验证证书。
  11. 再次检查独立的 OCSP 服务子系统,以验证是否发生了这些问题:
    • 证书管理器将 CRL 发布到在线证书状态管理器。
    • 浏览器将 OCSP 响应发送到在线证书状态管理器。
    • 在线证书状态管理器将 OCSP 响应发送到浏览器。
    • 浏览器用于响应验证证书并返回其状态,该浏览器无法验证证书。