Delegierten OCSP-Antwortdienst implementieren

Dieses Dokument enthält Informationen zum OCSP-Antwortdienst (Online Certificate Status Protocol), mit dem Sie den Sperrstatus von Zertifikaten prüfen können, die über Certificate Authority Service ausgestellt wurden. Weitere Informationen zum Tool finden Sie unter OCSP-Antwortdienst für den CA-Dienst.

Was ist das Online Certificate Status Protocol (OCSP)?

OCSP ist ein Protokoll zum Abrufen des Sperrstatus für ein X.509-Zertifikat. Wenn ein Nutzer Informationen zur Gültigkeit eines Zertifikats anfordert, wird eine Anfrage an einen OCSP-Antwortdienst gesendet. Der OCSP-Antwortdienst prüft den Status des Zertifikats mit einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) und sendet eine OCSP-Antwort zurück.

Warum sollte ich einen delegierten OCSP-Antwortdienst verwenden?

Das Tracking des Zertifikatssperrstatus mit OCSP kann viele Vorteile haben. Dazu gehören eine kürzere Antwortzeit und eine geringere Netzwerkbandbreite im Vergleich zu Zertifikatssperrlisten (Certificate Revocation Lists, CRLs), die recht groß werden können.

Wie funktioniert der OCSP-Antwortdienst?

Der OCSP-Antwortdienst generiert vorab eine OCSP-Antwort für jedes Zertifikat, das eine bestimmte Zertifizierungsstelle ausstellt. Die vorab generierten Antworten werden als einzelne Dateien in einem Cloud Storage-Bucket gespeichert.

Sie können einen Cloud Run-Dienst bereitstellen, der diese Dateien bei Bedarf oder nach einem Zeitplan neu generiert. Der Cloud Run-Dienst ist im Wesentlichen das Front-End für den OCSP-Server.

Sie können Cloud CDN verwenden, um Anfragen an Cloud Run weiterzuleiten und OCSP-Antworten im Cache zu speichern. Weitere Informationen finden Sie unter Cloud CDN mit Cloud Run einrichten.

Eine Anleitung zum Konfigurieren eines OCSP-Antwortdienstes mit dem CA-Dienst finden Sie in der Readme: OCSP-Antwort für den CA-Dienst.