如何设置带有中间证书的OCSP服务器

Question

我正在尝试设置一个3到4个路径长度的OCSP服务器(根> IMCA1 > IMCA2 > Server)。我想问以下几个问题。

我应该使用哪个证书来签署OCSPSIGNING(Responder) certificate?

• When i将初始化OCSP服务器，在"CA“属性中，如果我想验证叶证书和中间证书，需要提到哪个证书。

Answer 1

有很多方法可以做到这一点，但是为了保持清晰、有组织、安全和平衡，我会为每个颁发证书设置一个OCSP响应程序配置。

所有这些都来自于在设置我自己的CA时所做的繁琐的测试和配置，该CA通过中间CA颁发自己的叶子/EV证书。

因此，从每个颁发级别签署一个新的OCSP响应者证书(也可以使它成为CRL签名证书)。在这种情况下，这将导致7个证书总数。

在每个证书中，caIssuers应指向立即发布CA，OCSP扩展(authrityInfoAccess)应指向立即颁发CA OCSP委托，如下所示；

服务器到IMCA1 2-OCSP IMCA2，IMCA1 2-OCSP到IMCA1 1-OCSP IMCA1，IMCA1 1-OCSP到ROOT-OCSP根OCSP到ROOT-OCSP

根显然需要被任何计算机验证的信任。

每个证书可以有多个caIssuers/OCSP URI，如果支持OCSP响应程序可以响应多个不同的CA。

在我的例子中，我使用Apache、CGI处理程序、Expect脚本，以及执行openssl ocsp的本地实例执行OCSP工作。OCSP请求包括发出者哈希，然后我将查找该哈希，并使用适当的CA进行响应。

问题2有点模糊，但在这个设置中，每个验证级别上的信任锚都是立即颁发的CA。因此，对于服务器，IMCA2-OCSP响应程序只对IMCA2进行验证.我强烈建议这样做，只需将验证错误隔离到每个级别。请注意，对于所有OCSP请求，我都使用相同的地址，因此这不会导致设置额外的OCSP服务器。

您可以将更多的中间产物添加到根目录中，并将它们包含在响应中，但是这些好处几乎不存在。响应将验证签名和证书是否有效，但任何值得使用的OCSP客户端也将检查每个证书的吊销状态。这意味着又一次去OCSP应答机的旅行。

整个设置是一个自顶向下的配置、加载和安全独立设置。理想情况下，根CA的OCSP响应应该是长寿命的，而在较低的时间内，CA应该经常更新。这与证书的生存期相对应。例如，我的叶证书有效期为30天，我发出的OCSP响应被缓存1天。我的CA证书有效期为1年，其颁发的OCSP响应被缓存30天。我的经验法则是保持OCSP响应最多缓存1/10，即最短颁发证书的有效性。

附带说明--除非对第二个中间部分有明显的需求，否则我将跳过构建一个。根可以构建它想要的多少中间产物，每一个都可以被用于不同的目的。每个中间层都可以为任何目的签发任意数量的叶证书。创建一个可以创建中间产物的中间层有点多。您更可能希望禁用该功能，以避免Hugh路径长度。甚至向其他实体颁发CA证书的CA似乎也是从根本上发出的。

一如既往，下午或评论，如果你需要任何澄清，我会相应地编辑。