Implementar una respuesta OCSP delegada

En este documento, se proporciona información sobre el objeto de respuesta del Protocolo de estado de certificados en línea (OCSP) que puedes usar para verificar el estado de revocación de los certificados emitidos con Certificate Authority Service. Para obtener más información sobre la herramienta, consulta OCSP responder for AC Service.

¿Qué es el Protocolo de estado de certificado en línea (OCSP)?

OCSP es un protocolo para obtener el estado de revocación de un certificado X.509. Cuando un usuario solicita información sobre la validez de un certificado, se envía una solicitud a un generador de respuestas de OCSP. El objeto de respuesta de OCSP verifica el estado del certificado con una autoridad certificadora (AC) de confianza y envía una respuesta de OCSP.

¿Por qué usar un respondedor de OCSP delegado?

Hacer un seguimiento del estado de revocación de certificados con OCSP puede tener muchos beneficios. Estos incluyen un tiempo de respuesta más rápido y un requisito menor de ancho de banda de red, en comparación con las listas de revocación de certificados (CRL), que pueden ser bastante grandes.

¿Cómo funciona el generador de respuestas de OCSP?

El generador de respuestas de OCSP genera previamente una respuesta de OCSP para cada certificado que emite una AC en particular. Las respuestas generadas previamente se guardan como archivos individuales en un bucket de Cloud Storage.

Puedes implementar un servicio de Cloud Run que vuelva a generar estos archivos de forma on demand o programada. El servicio de Cloud Run es, en esencia, el frontend del servidor OCSP.

Puedes usar Cloud CDN para reenviar solicitudes a Cloud Run y almacenar en caché las respuestas de OCSP. Para obtener más información, consulta Cómo configurar Cloud CDN con Cloud Run.

Para obtener instrucciones sobre cómo configurar un objeto de respuesta de OCSP con el servicio de AC, consulta el archivo readme: Objeto de respuesta de OCSP para el servicio de AC.