委任された OCSP レスポンダーを実装する

このドキュメントでは、Certificate Authority Service を使用して発行された証明書の失効ステータスを確認するために使用できる Online Certificate Status Protocol(OCSP)レスポンダーについて説明します。このツールの詳細については、CA Service の OCSP レスポンダーをご覧ください。

Online Certificate Status Protocol(OCSP)とは

OCSP は、X.509 証明書の失効ステータスを取得するためのプロトコルです。ユーザーが証明書の有効性に関する情報をリクエストすると、OCSP レスポンダーにリクエストが送信されます。OCSP レスポンダーは、信頼できる認証局(CA)で証明書のステータスを確認し、OCSP レスポンスを返します。

委任された OCSP レスポンダーを使用する理由

OCSP を使用して証明書失効ステータスを追跡すると、多くの利点があります。 たとえば、非常に大きくなる場合がある証明書失効リスト(CRL)と比較して、より短いレスポンス時間や、より小さいネットワーク帯域幅の要件などの利点があります。

OCSP レスポンダーの仕組み

OCSP レスポンダーは、特定の CA が発行する証明書ごとに OCSP レスポンスを事前に生成します。事前生成されたレスポンスは、個別のファイルとして Cloud Storage バケットに保存されます。

これらのファイルをオンデマンドまたはスケジュールに従って再生成する Cloud Run サービスをデプロイできます。Cloud Run サービスは、基本的に OCSP サーバーのフロントエンドです。

Cloud CDN を使用して、リクエストを Cloud Run に転送し、OCSP レスポンスをキャッシュに保存できます。詳細については、Cloud Run を使用して Cloud CDN を設定するをご覧ください。

CA Service で OCSP レスポンダーを構成する手順については、README: CA Service の OCSP レスポンダーをご覧ください。