Implementar una respuesta OCSP delegada

En este documento, se proporciona información sobre la respuesta del protocolo de estado del certificado en línea (OCSP) que puedes usar para verificar el estado de revocación de los certificados emitidos con Certificate Authority Service. Para obtener más información sobre la herramienta, consulta la respuesta OCSP para el servicio de CA.

¿Qué es el Protocolo de estado del certificado en línea (OCSP)?

OCSP es un protocolo para obtener el estado de revocación de un certificado X.509. Cuando un usuario solicita información sobre la validez de un certificado, se envía una solicitud a un respondedor de OCSP. El respondedor de OCSP verifica el estado del certificado con una autoridad certificadora (CA) de confianza y envía una respuesta de OCSP.

¿Por qué usar una respuesta de OCSP delegada?

El seguimiento del estado de revocación de certificados mediante OCSP puede tener muchos beneficios. Estas incluyen un tiempo de respuesta más rápido y requisitos más pequeños para el ancho de banda de la red, en comparación con las listas de revocación de certificados (CRL), que pueden ser bastante grandes.

¿Cómo funciona la respuesta de OCSP?

El respondedor de OCSP genera previamente una respuesta OCSP para cada certificado que emite una CA en particular. Las respuestas generadas con anterioridad se guardan como archivos individuales en un bucket de Cloud Storage.

Puedes implementar un servicio de Cloud Run que vuelva a generar estos archivos a pedido o según un programa. El servicio de Cloud Run es, en esencia, el frontend del servidor de OCSP.

Puedes usar Cloud CDN para reenviar solicitudes a Cloud Run y almacenar en caché las respuestas de OCSP. Consulta Configura Cloud CDN con Cloud Run para obtener más información.

Si deseas obtener instrucciones para configurar una respuesta OCSP con el servicio de CA, consulta el archivo README: respuesta de OCSP para el servicio de CA.