OCSP:验证器如何知道使用哪个OCSP服务器？

Question

我很难在线确认这一点-- OCSP服务器URL是在CA的X509证书中指定的吗，就像CRL一样，还是必须由网络管理员指定带外？验证器如何知道使用哪个OCSP服务器来验证给定的证书(假设我们有它的证书路径)？

Answer 1

X.509证书中的授权信息访问(AIA)详细信息将描述OCSP服务器的位置。

颁发证书的证书颁发机构会将OCSP信息添加到颁发给实体的证书中。证书的请求者对此没有选择，因此不能隐藏OCSP服务器的存在。

OCSP客户端可以解析证书，注意OCSP AIA条目的存在，并发出验证请求。