Mettre en œuvre un service de répondeur OCSP délégué

Ce document fournit des informations sur le répondeur OCSP (Online Certificate Status Protocol) que vous pouvez utiliser pour vérifier l'état de révocation des certificats émis à l'aide de Certificate Authority Service. Pour en savoir plus sur cet outil, consultez la section Répondeur OCSP pour le service de CA.

Qu'est-ce que le protocole OCSP (Online Certificate Status Protocol) ?

OCSP est un protocole permettant d'obtenir le statut de révocation d'un certificat X.509. Lorsqu'un utilisateur demande des informations sur la validité d'un certificat, une requête est envoyée à un répondeur OCSP. Le répondeur OCSP vérifie l'état du certificat auprès d'une autorité de certification (CA) de confiance et renvoie une réponse OCSP.

Pourquoi utiliser un répondeur OCSP délégué ?

Le suivi de l'état de révocation du certificat à l'aide d'OCC peut présenter de nombreux avantages. Par rapport aux listes de révocation de certificats (LRC), qui peuvent devenir très volumineuses, elles nécessitent un temps de réponse plus rapide et une exigence moindre en termes de bande passante réseau.

Comment fonctionne le répondeur OCSP ?

Le répondeur OCSP génère à l'avance une réponse OCSP pour chaque certificat émis par une autorité de certification particulière. Les réponses prégénérées sont enregistrées sous forme de fichiers individuels dans un bucket Cloud Storage.

Vous pouvez déployer un service Cloud Run qui génère à nouveau ces fichiers à la demande ou selon une programmation. Le service Cloud Run est essentiellement l'interface du serveur OCSP.

Vous pouvez utiliser Cloud CDN pour transférer les requêtes vers Cloud Run et mettre en cache les réponses OCSP. Pour en savoir plus, consultez la page Configurer Cloud CDN avec Cloud Run.

Pour savoir comment configurer un répondeur OCSP avec CA Service, consultez le fichier README: Répondeur OCSP pour CA Service.