发出OCSP请求的共同策略是什么？

Question

我目前正在为嵌入式设备(没有互联网连接)上的代码签名证书定义一个PKI。我定义了证书颁发机构( FW发布权限)的行为以及用于在FW更新时对其签名的公钥证书进行身份验证的FW代码，我想要定义一种检查CA颁发的代码签名证书的吊销状态的策略。一般制度的运作方式如下：

1.固件代码应由私钥(key#1priv)2签名。与该私钥( key#1pub )配对的公钥应以csr (由HSM构造)发送给CA，并获得代码签名证书3。CA的公钥将以安全的方式下载到驱动器上。4. FW更新时，FW将收到key#1pub的证书，使用CA的公钥对其进行身份验证，然后使用key#1pub对FW代码进行认证。

我的问题是：

如果CA的私钥被泄露，据我所知，将再次向CA发送csr，并由已撤销的私钥签署新的证书。根据我从网上读到的，一个OCSP请求将发送给CA是为了根据证书的序列号查找证书的撤销状态，证书请求者如何知道何时发出这样的OCSP请求？换句话说，向CA发送OCSP请求的时间安排的常见做法是什么？

谢谢。

Answer 1

我觉得你搞错了。描述使用证书代理机构和撤销证书的基本想法：

• 通过在设备上安装CA根证书，CA应该在设备上被本地信任。
• CA基于CSR颁发证书。
• 设备可以使用CA的本地安装根证书来验证证书中的信任。
• CA可以撤销它颁发的证书。撤销信息由CA签名，以便可以使用本地安装的根CA对其进行验证。
• 但是CA证书本身不能被撤销。因为CA的根证书是自签名的，所以吊销应该由CA本身的私钥签名，但是根证书应该被撤销，因为这个私钥被泄露了，这意味着我们不能信任用这个密钥签名的任何东西。这意味着，如果CA被破坏，就必须从设备中删除可信的CA。有关更多信息，请参见如何处理根CA撤消？和RootCA可以被撤销吗？。

因此，无法检查CA的撤销。

但是我们可以检查CA颁发的证书的撤销情况。在使用证书时，即在验证签名时，都应该这样做。因为这可能太频繁了，OCSP响应和证书吊销列表(CRL)有某种生命周期，只要它仍然有效，您就可以重用最后的结果。