什么是联机证书状态协议(OCSP)和教程,并附有示例?

京东自营,扫码进入

像SSL、X.509这样的证书用于保护网络流量。但在分布式环境中,每个证书都有自己的生命周期 像互联网一样,我们应该管理它们。在线证书状态协议OCSP用于管理证书的有效性和生命周期。

Bykski B-CRL 水泵双面胶防震垫  减震垫子 尺寸 50X50X10(MM)
Bykski B-CRL 水泵双面胶防震垫 减震垫子 尺寸 50X50X10(MM)
| 月销量15件
优惠价1.2元
原价¥1.5

淘口令:

¥Tu9M2PNyAqu¥
 

OCSP标准在RFC 6960中定义为 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP . 它使以前定义的证书控制协议PKIX成为绝对的。

OCSP公司

联机证书状态协议(OCSP)使应用程序能够确定已标识证书的(吊销)状态。OCSP可用于满足提供比CRLs更及时的撤销信息的一些操作要求,还可用于获取附加的状态信息。OCSP客户机向OCSP响应程序发出状态请求,并在响应程序提供响应之前暂停接受有问题的证书。

OCSP请求

当我们试图向OCSP服务器发出请求时,OCSP中必须存在以下信息 请求。

  • `协议版本`
  • `服务请求`
  • `目标证书标识符`

OCSP服务器

OCSP服务器通过OCSP协议提供服务。客户端可以以交互方式 已检查X.509或SSL证书状态。这个 将使用证书序列号进行检查。

图片[1]-什么是联机证书状态协议(OCSP)和教程,并附有示例?-cppku-C++库

我们可以看到,给定的证书在2018年12月16日至2019年12月16日之间有效。如果此证书被盗,OCSP可用于使证书在其有效日期之前失效。

OCSP证书状态响应

检查证书状态时 响应可以从OCSP服务器返回,如下所示。

  • `“当前”表示证书 是有效的,可以使用。
  • `Expired`表示证书无效,不应 被使用
  • `unknown`表示证书未知,这通常发生在自签名的情况下 证书。

相关文章: Linux Lftp客户端教程,用于Ftp、Http、Sftp、Https、Ftps、Fish Potocols

OCSP优于证书吊销列表(CRL)

在OCSP之前,有一个证书吊销列表,即CRL。CRL是一堆无效的证书 或 期满 为了不同的目的。每个客户端都应该按指定的时间间隔下载此CRL列表。这些机制不安全,因为

  • 病人 证书可以在不知道的情况下使用。
  • CRL下载间隔会造成安全漏洞
  • 下载CRL既不实用也不容易
  • 下载CRL,一次又一次,将消耗 带宽和存储不必要的东西。
© 版权声明
THE END
喜欢就支持一下吧,技术咨询可以联系QQ407933975
点赞0 分享