Implementazione di un risponditore OCSP delegato

Questo documento fornisce informazioni sul risponditore OCSP (Online Certificate Status Protocol) che puoi utilizzare per verificare lo stato di revoca dei certificati emessi utilizzando Certificate Authority Service. Per ulteriori informazioni sullo strumento, consulta Risponditore OCSP per CA Service.

Che cos'è OCSP (Online Certificate Status Protocol)?

OCSP è un protocollo per ottenere lo stato di revoca per un certificato X.509. Quando un utente richiede informazioni sulla validità di un certificato, viene inviata una richiesta a chi risponde OCSP. L'utente che risponde OCSP controlla lo stato del certificato con un'autorità di certificazione (CA) attendibile e invia una risposta OCSP.

Perché utilizzare un risponditore OCSP delegato?

Il monitoraggio dello stato di revoca dei certificati mediante OCSP può offrire molti vantaggi. Includono tempi di risposta più rapidi e requisiti minori di larghezza di banda della rete rispetto agli elenchi revoche certificati (CRL), che possono diventare molto grandi.

Come funziona l'intervistato OCSP?

Il risponditore OCSP pregenera una risposta OCSP per ogni certificato emesso da una determinata CA. Le risposte pregenerate vengono salvate come singoli file in un bucket Cloud Storage.

Puoi eseguire il deployment di un servizio Cloud Run che rigenera questi file on demand o in base a una pianificazione. Il servizio Cloud Run è essenzialmente il frontend del server OCSP.

Puoi utilizzare Cloud CDN per inoltrare le richieste a Cloud Run e memorizzare nella cache le risposte OCSP. Per ulteriori informazioni, consulta la sezione Configurazione di Cloud CDN con Cloud Run.

Per istruzioni sulla configurazione di un risponditore OCSP con CA Service, consulta README: risponditore OCSP per il servizio CA.