Mettre en œuvre un service de répondeur OCSP délégué

Ce document fournit des informations sur le répondeur OCSP (Online Certificate Status Protocol) que vous pouvez utiliser pour vérifier l'état de révocation des certificats émis à l'aide de Certificate Authority Service. Pour en savoir plus sur cet outil, consultez la section Répondeur OCSP pour le service d'autorité de certification.

Qu'est-ce que le protocole OCSP (Online Certificate Status Protocol) ?

OCSP est un protocole permettant d'obtenir l'état de révocation d'un certificat X.509. Lorsqu'un utilisateur demande des informations sur la validité d'un certificat, une requête est envoyée à un répondeur OCSP. Le répondeur OCSP vérifie l'état du certificat auprès d'une autorité de certification (CA) de confiance et renvoie une réponse OCSP.

Pourquoi utiliser un répondeur OCSP délégué ?

Le suivi de l'état de révocation des certificats à l'aide d'OCSP peut présenter de nombreux avantages. Cela inclut un temps de réponse plus rapide et des exigences moindres en termes de bande passante réseau, par rapport aux listes de révocation de certificats (LRC), qui peuvent être très volumineuses.

Comment fonctionne le répondeur OCSP ?

Le répondeur OCSP génère une réponse OCSP pour chaque certificat délivré par une autorité de certification spécifique. Les réponses prégénérées sont enregistrées en tant que fichiers individuels dans un bucket Cloud Storage.

Vous pouvez déployer un service Cloud Run qui regénère ces fichiers à la demande ou de manière planifiée. Le service Cloud Run est essentiellement le frontend du serveur OCSP.

Vous pouvez utiliser Cloud CDN pour transférer des requêtes vers Cloud Run et mettre en cache les réponses OCSP. Pour en savoir plus, consultez Configurer Cloud CDN avec Cloud Run.

Pour obtenir des instructions sur la configuration d'un répondeur OCSP avec le service CA, consultez le README: Répondeur OCSP pour le service CA.