Implementar una respuesta de OCSP delegada

En este documento se proporciona información sobre el respondedor del protocolo del estado de certificados online (OCSP) que puedes usar para comprobar el estado de revocación de los certificados emitidos mediante el Servicio de Autoridades de Certificación. Para obtener más información sobre la herramienta, consulta Respondedor OCSP para el servicio de CA.

¿Qué es el protocolo de estado de certificados online (OCSP)?

OCSP es un protocolo para obtener el estado de revocación de un certificado X.509. Cuando un usuario solicita información sobre la validez de un certificado, se envía una solicitud a un OCSP Responder. El servidor OCSP comprueba el estado del certificado con una autoridad de certificación (CA) de confianza y envía una respuesta OCSP.

¿Por qué usar una respuesta de OCSP delegada?

El seguimiento del estado de revocación de certificados mediante OCSP puede ofrecer muchas ventajas. Entre ellas, se incluyen un tiempo de respuesta más rápido y un menor requisito de ancho de banda de red, en comparación con las listas de revocación de certificados (CRL), que pueden ser bastante grandes.

¿Cómo funciona el OCSP Responder?

El servidor OCSP pregenera una respuesta OCSP para cada certificado que emite una AC concreta. Las respuestas pregeneradas se guardan como archivos individuales en un segmento de Cloud Storage.

Puedes desplegar un servicio de Cloud Run que regenere estos archivos bajo demanda o según una programación. El servicio de Cloud Run es básicamente el frontend del servidor OCSP.

Puedes usar Cloud CDN para reenviar solicitudes a Cloud Run y almacenar en caché respuestas OCSP. Para obtener más información, consulta el artículo Configurar Cloud CDN con Cloud Run.

Para obtener instrucciones sobre cómo configurar un OCSP Responder con el Servicio de Autoridades de Certificación, consulta el archivo README: OCSP responder for CA Service (LÉEME: OCSP Responder para el Servicio de Autoridades de Certificación).