pshiy

OCSP，百度上的解释是在线证书状态协议(Online Certificate Status Protocol)。

接下来，我来谈谈自己对OCSP的见解。

通常来说，PKI包括的组件有：证书颁发机构CA、数字证书、证书模板、证书吊销列表CDP、权威信息AIA和联机响应OCSP。我认为OCSP是对CRL缺陷的完善。在吊销的证书属性中我们可以看出，CRL是具有发布间隔的，默认间隔周期是1周，也就是说列表信息有可能存在不是最新的情况，存在安全隐患。OCSP能够提供实时检测证书状态的功能，杜绝上述此类情况的发生。

配置OCSP过程

三台虚拟机：

CA

OCSP应答器

Win8客户机

设置联机响应程序：

在PKI架构中，可以存在多台OCSP应答器。OCSP应答器我的理解是：安装了联机响应程序的服务器。

1、 添加角色联机响应程序

PS：由于客户端采用HTTP方式检测证书状态，所以系统还会提示安装IIS功能，这里我事先安装过IIS，所以配置过程中不体现。

2、  CA上发布OCSP证书，应答器注册OCSP证书

找到OCSP响应签名，复制模板

修改名称

添加应答器证书读取权限、注册权限。

启用证书模板

应答器注册证书,这里我采用手动注册的方式注册。

3设置联机响应程序

选择现有企业CA的证书：响应器将读取CA中的列表

从本地证书存储中选择证书：读取本地存储的证书

浏览证书颁发机构，选择自动读取证书

4在CA中发布OCSP 选择授权信息访问

配置还是算简单的

5客户机验证

手动申请个人证书

导出证书并验证ocsp

撤销李万个人证书并发布CRL

重启OCSP-host

验证李万证书

联机响应程序的实验到这差不多结束了。但我有个问题，必须重启安装联机响应程序的服务器

后才能检索出吊销的个人证书？毕竟在实际操作中不现实，求教。

本文出自 “深海大胖鱼” 博客，请务必保留此出处http://5496038.blog.51cto.com/5486038/1856840

winserver2012R2 部署联机响应程序