Delegierten OCSP-Antwortdienst implementieren

Dieses Dokument enthält Informationen zum OCSP-Responder (Online Certificate Status Protocol), mit dem Sie den Widerrufsstatus von Zertifikaten prüfen können, die mit Certificate Authority Service ausgestellt wurden. Weitere Informationen zum Tool finden Sie unter OCSP-Responder für CA-Dienst.

Was ist das Online Certificate Status Protocol (OCSP)?

OCSP ist ein Protokoll zum Abrufen des Widerrufsstatus eines X.509-Zertifikats. Wenn ein Nutzer Informationen zur Gültigkeit eines Zertifikats anfordert, wird eine Anfrage an einen OCSP-Responder gesendet. Der OCSP-Responder prüft den Status des Zertifikats bei einer vertrauenswürdigen Zertifizierungsstelle (CA) und sendet eine OCSP-Antwort zurück.

Warum einen delegierten OCSP-Antwortdienst verwenden?

Das Überwachen des Zertifikatswiderrufsstatus mit OCSP kann viele Vorteile haben. Dazu gehören eine kürzere Antwortzeit und geringere Anforderungen an die Netzwerkbandbreite im Vergleich zu Zertifikatssperrlisten (Certificate Revocation Lists, CRLs), die ziemlich groß werden können.

Wie funktioniert der OCSP-Responder?

Der OCSP-Responder generiert vorab eine OCSP-Antwort für jedes Zertifikat, das von einer bestimmten Zertifizierungsstelle ausgestellt wird. Die vorab generierten Antworten werden als einzelne Dateien in einem Cloud Storage-Bucket gespeichert.

Sie können einen Cloud Run-Dienst bereitstellen, der diese Dateien bei Bedarf oder nach einem Zeitplan neu generiert. Der Cloud Run-Dienst ist im Grunde das Frontend für den OCSP-Server.

Sie können Cloud CDN verwenden, um Anfragen an Cloud Run weiterzuleiten und OCSP-Antworten im Cache zu speichern. Weitere Informationen finden Sie unter Cloud CDN mit Cloud Run einrichten.

Eine Anleitung zum Konfigurieren eines OCSP-Responders mit CA Service finden Sie in der README: OCSP-Responder für CA Service.