实现委派 OCSP 响应程序

本文档提供了有关在线证书状态协议 (OCSP) 响应程序的信息,您可以使用该响应程序检查使用 Certificate Authority Service 颁发的证书的吊销状态。如需详细了解该工具,请参阅适用于 CA 服务的 OCSP 响应程序

什么是在线证书状态协议 (OCSP)?

OCSP 是一种用于获取 X.509 证书吊销状态的协议。当用户请求有关证书有效性的信息时,系统会向 OCSP 响应方发送请求。OCSP 响应程序使用受信任的证书授权机构 (CA) 检查证书的状态,并发回 OCSP 响应。

为何使用委托 OCSP 响应程序?

使用 OCSP 跟踪证书吊销状态有诸多好处。与证书吊销列表 (CRL) 相比,证书吊销列表 (CRL) 可能会非常大,而且响应速度更快,网络带宽要求更低。

OCSP 响应程序的工作原理是什么?

OCSP 响应程序会为特定 CA 发出的每个证书预先生成 OCSP 响应。预先生成的响应以单个文件的形式保存在 Cloud Storage 存储桶中。

您可以部署一项 Cloud Run 服务,以按需或按计划重新生成这些文件。Cloud Run 服务本质上是 OCSP 服务器的前端

您可以使用 Cloud CDN 将请求转发到 Cloud Run 并缓存 OCSP 响应。如需了解详情,请参阅使用 Cloud Run 设置 Cloud CDN

如需了解如何使用 CA Service 配置 OCSP 响应程序,请参阅自述文件:CA 服务的 OCSP 响应程序