だから私はJoelWeiseによるPKIの概要(http://highsecu.free.fr/db/outils_de_securite/cryptographie/pki/publickey.pdf)のページをスニッフィングしていましたが、私がまったく得られなかったのは、いつ使用するかです。特定の証明書の有効性をチェックするためのLDAPを介したOCSPレスポンダー?一部のCAが両方を公開しているとしましょう-いつOCSPサービスを使用するか、いつ証明書リポジトリLDAPサーバーを使用するか?
質問する
217 次
1 に答える
3
このように考えると役立つかもしれません。
認証局は、証明書失効リスト(CRL)を生成します。(CAに直接クエリを実行することもできますが、秘密鍵(シークレット)を公開するリスクがあるため、これはお勧めできません)。
その後、CRLをLDAPまたはHTTP経由で使用できるようにすることができます。(小規模な展開の場合は、ここで停止できる可能性があります)
OCSPサーバー(または、専門用語によっては検証機関)もCRLを使用できます。そうすると、検証(証明書ステータス)要求を処理できるようになります。(大規模な展開があり、CRLの処理が面倒な場合は、このオプションを検討してください)
(複数のOCSPサーバーとは対照的に)応答に事前署名してから転送および保存する分散OCSPレスポンダーがあるオプション(サードパーティ、たとえばMicrosoftではない)があります。(まだ比較的大規模な展開があり、ネットワークの可用性、拡張性、読み込みの問題がある場合は、別のオプションとして検討してください)。
最後に、証明書のステータスだけでなく、証明書の信頼も確認していることを確認してください。フェデレーション環境では、サーバー証明書検証プロトコル(SCVP)を上記の補足として検討することをお勧めします。
于 2012-04-16T11:07:52.693 に答える